nmap流量特征修改

本文涉及的产品
云防火墙,500元 1000GB
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: nmap流量特征修改

0x01 前言


nmap是渗透中尝尝用到的工具之一,在信息收集阶段经常用到,现在主流的流量分析设备也将其流量加入了特征库,


为了防止在探测阶段IP就被封掉,对其的流量特征做一些简单的修改有点用的。


由于没有厂商设备检测,故以下只是学习记录一下思路。具体效果还待验证。


参考链接

如何修改nmap, 重新编译,bypass emergingthreats 的公开ids规则:

https://xz.aliyun.com/t/6002

nmap端口扫描技术:

https://nmap.org/man/zh/man-port-scanning-techniques.html

NmapbypassIDS:

https://github.com/al0ne/Nmap_Bypass_IDS


0x02 环境


VM虚拟机

192.168.1.113 开放135,3389 防火墙禁止445入站


c3c025718430e37ff2e1ac66f3eddf0c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


ubuntu:

编译安装nmap用,kali下编译安装存在点问题,坑太多了,以后有时间再去踩。


0x03 nmap探测的常用几种方式


-sS (SYN扫描)


nmap默认端口扫描方式,执行半开扫描,不完成TCP握手流程。只向目标端口发送一个SYN报文,然后等待响应。

SYN/ACK表示端口在监听 (开放),而 RST (复位)表示没有监听者。

如果多次重发后仍没响应, 该端口就被标记为被过滤。

使用抓包工具可以完整的看到探测过程。


28f7751a92f67bd3de70523918b0b43d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


-sT (TCP扫描)


一般不推荐使用,因为会留下连接日志。

另外在调用一些高级扫描时(如HTTP),会调用这种连接方式。

使用抓包工具看其探测过程


3b134c12655ab143015a0c50f74d2d9a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


-sU(UDP扫描)


DNS,SNMP,和DHCP是常常开放UDP的几个服务,有些情况下会使用到。

由于UDP是无连接的,所以会面临响应探测问题,探测时的端口是否开放还是被过滤的判断,会让Nmap超时然后再探测,以防探测帧或者响应丢失,导致探测时间增长。

关闭的端口常常是更大的问题。它们一般发回一个ICMP端口无法到达错误。

但是不像TCP发送的RST报文,许多主机在默认情况下限制ICMP端口不可到达消息。

如:Linux 2.4.20内核限制一秒钟只发送一条目标不可到达消息。


抓包看一下,当只看到两个UDP无内容包时,懵了一下。

查了一下发现除了某些特定端口会有响应返回,如137 用的NBNS,其他的全部都是没有返回,原因是因为这台机器禁PING了,就是ICMP的返回包过不来。

所以没法判断端口是否关闭。


ee755ddba061df40af8f1387626e2487_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


修改防火墙设置。

允许文件和打印机共享后确实可以ping主机了,但是ICMP回包还是有问题。

后来索性把防火墙关掉。


20c2f8b78a90f2f081c68cf7343b9d8a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


就可以明显看到其是通过返回包来进行判断的。



-sN;-sF;-sX (TCP Null,FIN,and Xmas扫描)


这个还是挺有意思的,首先这个不适用扫描windows、Cisco、bsdi、IBM的一些服务器,因为并不是完全遵守RFC 793这个协议。

这个协议会存在这种情况,当端口关闭时,任何不包含SYN,RST,或者ACK位的报文会导致 一个RST返回,而当端口开放时,应该没有任何响应。

所以只要不包含SYN,RST,或者ACK, 任何其它三种(FIN,PSH,and URG)的组合都行。

而刚刚上面说的那些他们并不遵守这个,他们不管端口开放或关闭,都返回一个RST,导致Nmap判断错误。


-sN 不设置任何标志位

-sF 只设置FIN标志位

-sX 设置FIN,PSH,和URG标志位


看一下探测过程,如果没加参数,默认会先发送ICMP请求。


880b8a11608b4851b317ec02718bb6ec_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


-sA(ACK 扫描)


用于探测防火墙状态。ACK扫描探测报文只设置ACK标志位。

当扫描未被过滤的系统时, open(开放的)和 closed(关闭的) 端口 都会返回RST报文。

Nmap把它们标记为 unfiltered(未被过滤的),无返回或者返回ICMP错误响应时标记为filtered。


防火墙关闭状态下。返回unfiltered



防火墙开启状态下。返回filtered



-scanflags (自定义扫描)


可以使用 URGACKPSHRSTSYN,and FIN的任何组合,进行发包。详细可以自己组合定制


-sI(Idlescan)


高级隐藏扫描。利用僵尸网络执行扫描。详细可看文章

(文章链接https://nmap.org/book/idlescan.html


-sV (版本检测)-O (系统检测)


可以看到在探测的时候会有标志和固定长度字符串问题。

IDS识别nmap扫描一般都是根据UDP data区域填充的'C'字符串,ICMP填充的是0(正常windows下是a-z,Linux下是0-9。


莫慌,接下就学习一下怎么去改这些个文件。


f1d8b3e0f89c5d0b4b39b19b0d3bf9f7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4ed4f3631cdd050868358b8165c0fc62_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


0x04 nmap的流量特征修改


Win值修改


通过观察可以发现nmap在使用SYN扫描时Windows的窗口值值固定是1024。

(PS :window 关键字用于检查特定的TCP窗口大小)


41cbdb5a89bf710d4adaa7a6cb3f9ceb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


下面是正常连接3389时,发送的数据包。可以看到win值明显不一样。


c98702a8f93a7b2898ffc9e673d3416c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


修改tcpip.cc文件中tcp->th_win的值,查询TCP中win这个值的信息发现,

默认最大为65535。

所以应该在此范围内都可以。

但是要考虑已公开的规则,如之前大佬写的bypass emergingthreats这篇,这个就过滤了2048 1024 3072 4096。


b9da35214f577250f59bc06b0a33f7b5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


后来因某些原因,把nmap编译到了云服务器上,抓包的话就需要tcpdump了。


tcpdump -i eth0 -t -s 0 -c 100 host IP


b16193e9de49bc1d146ea13dd58a221c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


关键词修改


根据规则,一个一个去修改文件即可。nmap,nm,nm@p,OR sqlspider等等,

主要的就是SIP文件和一些常用的脚本文件。

这些个就是从emergingthreats的规则中提取的。


16f0d9aa0d209292bfc624dc352fec7f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

bbbd668925555f0d875897215ca40286_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


UDP探测时填充值修改


osscan2.cc

static u8 patternbyte = 0x43; /* character 'C' /

替换为 static u8 patternbyte = 0x46; / character 'F' */

重新编译后再去扫描,内容已经换了,长度应该也是可以调整。

u8 packet[328]; /* 20 IP hdr + 8 UDP hdr + 300 data */

这里还没测试,感兴趣可以自己去定义,看会不会有什么问题。


8f19e7c030f2fb3c07ecb6ddaef18b06_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


0x05 nmap编译安装


nmap编译时可能会遇到如下错误,几乎都是缺少特定的库导致的,

所以编译安装时需要安装以下库。

编译环境是基于Ubuntu的,其他环境库的名字可能不同,遇到编译报错可百度找对应解决方法即可。

apt install flex bison libssl-dev
./configure --without-zenmap
make && make install

0x06 总结


可修改文件及修改处


6.1、修改namp默认win窗口值。


tcpip.cc

tcp->th_win = hosts(1-65535)


6.2、修改nmap-service-probes文件中关键词


nmap,nm@nm,nm2@nm2,nm@p,nm,0PT10NS sip

这些值酌情替换。


6.3、修改脚本中的值


  • nselib/http.lua

USERAGENT = stdnse.getscript_args('http.useragent')

  • nselib/mssql.lua

搜索Nmap NSE然后替换

  • nselib/sip.lua

搜索Nmap NSE然后替换

  • scripts/http-sql-injection.nse

搜索sqlspider然后替换

  • scripts/ssl-heartbleed.nse

搜索Nmap ssl-heartbleed替换

  • nselib/rdp.lua

local cookie = "mstshash=nmap"


6.4、修改使用-O参数发包填充内容


osscan2.cc

static u8 patternbyte = 0x43; /* character 'C' / 

替换为 static u8 patternbyte = 0x46; / character 'F' */


相关文章
|
前端开发
如何利用dnslog探测目标主机杀软
如何利用dnslog探测目标主机杀软
223 0
|
1月前
|
运维 安全 网络安全
|
Shell Perl
检测网卡流量,并按规定格式记录在日志中
检测网卡流量,并按规定格式记录在日志中
85 2
C/C++编程题之识别有效的IP地址和掩码并进行分类统计
C/C++编程题之识别有效的IP地址和掩码并进行分类统计
|
缓存 网络协议 Windows
计算机网络:实验五-利用分组嗅探器分析DNS
计算机网络:实验五-利用分组嗅探器分析DNS
466 0
计算机网络:实验五-利用分组嗅探器分析DNS
|
网络协议 网络架构
IP数据报分析
IP数据报抓包分析
731 2
IP数据报分析
|
安全 网络协议 大数据
安全,将会是未来路由器的主要特征之一
安全,将会是未来路由器的主要特征之一
189 0
安全,将会是未来路由器的主要特征之一
|
网络协议 Shell
tcpdump 方式检测ip 网段 扫段 tcp并发数攻击防御shell 脚本
tcpdump 自定义抓包时间将信息存入文件, 以systemd 系统服务方式进行启动
605 0
网站被攻击如何解决 通过日志查找攻击特征
很多企业网站被攻击,导致网站打开跳转到别的网站,尤其一些彩票等非法网站上去,甚至有些网站被攻击的打不开,客户无法访问首页,给客户造成了很大的经济损失,很多客户找到我们SINE安全公司寻求防止网站被攻击的解决方案,针对这一情况,我们安全部门的技术,给大家普及一下网站被攻击后该如何查找攻击源以及对检测网站存在的漏洞,防止网站再次被攻击。
2919 0