Как сканировать скрыто с помощью Netdiscover и Nmap

Сканировать скрыто сеть Netdiscover Nmap

Пен­тесте­ры вынуж­дены в сво­ей работе исполь­зовать ска­неры (Netdiscover, Nmap и про­чие), одна­ко при запус­ке с уста­нов­ками по умол­чанию эти ска­неры соз­дают очень боль­шой шум в эфи­ре. Мало того что повыша­ется риск ком­про­мета­ции дей­ствий ата­кующе­го, так еще есть веро­ятность перег­рузить сетевой ком­мутатор (осо­бен­но если мы говорим о быс­тром ARP-ска­ниро­вании). Тре­вогу может забить и сис­тема Storm Control, которая управля­ет огра­ниче­ниями лимитов UCAST/MCAST/BCAST-тра­фика.

Еще по теме: Скрытое сканирование хостов с помощью Nmap

Как сканировать скрыто с помощью Netdiscover и Nmap

Я нашел воз­можность миними­зиро­вать шум в эфи­ре с помощью огра­ниче­ния ско­рос­ти на интерфей­се сис­темы. Мож­но резать ско­рость на интерфей­се до 30 Кбит/с, выс­тавив задер­жку 800 мс, что­бы тот же Netdiscover не вызывал перег­рузку в эфи­ре.

Разуме­ется, такой фикс пов­лияет на ско­рость работы ска­нера и ско­рость переда­чи дан­ных, но все это толь­ко ради избе­жания перег­рузки. Зна­чения я опре­делил в сво­их наб­людени­ях, одна­ко не стес­няйтесь регули­ровать их при необ­ходимос­ти.

Для шей­пин­га я исполь­зовал ути­литу tc (traffic control):

Ни­же скрин­шоты с работой ска­неров Netdiscover и Nmap. Коман­ды запус­ка были сле­дующие:

Об­ращайте вни­мание на Outgoing — ути­лита nload показы­вает этот исхо­дящий тра­фик (ког­да вы что‑то ска­ниру­ете — это исхо­дящий тра­фик).

Ра­бота Netdiscover без шей­пин­га тра­фика
Ра­бота Netdiscover без шей­пин­га тра­фика
Ра­бота Netdiscover с шей­пин­гом
Ра­бота Netdiscover с шей­пин­гом
Ра­бота Nmap без шей­пин­га тра­фика
Ра­бота Nmap без шей­пин­га тра­фика
Ра­бота Nmap с шей­пин­гом
Ра­бота Nmap с шей­пингом

Ес­ли нуж­но уда­лить парамет­ры огра­ниче­ния тра­фика, то для это­го есть вот такая коман­да:

Скрытое сканирование сети с помощью F31

Итак, я написал скрипт F31 для авто­мати­зации все­го про­цес­са нас­трой­ки. Скрипт пол­ностью нас­тра­ивает­ся, и запус­кать его нуж­но со спе­циаль­ными аргу­мен­тами.

Скрытое сканирование сети с помощью F31
Скрытое сканирование сети с помощью F31

Здесь:

  • --interface — ука­зыва­ете сетевой интерфейс сво­его Kali Linux;
  • --new-hostname — новый хос­тнейм для сво­его Kali Linux;
  • --noise-reduction — акти­вация того самого шей­пин­га тра­фика для миними­зации шума в эфи­ре. Параметр опци­ональ­ный, вклю­чайте его при необ­ходимос­ти.

На слу­чай, если понадо­бит­ся отка­тить все изме­нения, я написал скрипт reset.sh, вы смо­жете его най­ти в этом репози­тории:

Теперь вы сможете запустить скрытое сканирование сети с помощью вашего любимого сканера. Я рас­ска­зал об основных иде­ях по поводу миними­зации шума в эфи­ре на Kali Linux. Акцент всех эта­пов нас­трой­ки Kali Linux сде­лан имен­но на сетевом уров­не. Написать пол­ноцен­ный ману­ал по обхо­ду SOC вряд ли воз­можно, тем более все не умес­тить в одну статью.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий