Scanner Snffer Jan-Erik Jonsson 1/2 2005-03-30 En portskanner ...
Scanner Snffer Jan-Erik Jonsson 1/2 2005-03-30 En portskanner ...
Scanner Snffer Jan-Erik Jonsson 1/2 2005-03-30 En portskanner ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Scanner</strong> <strong>Snffer</strong><br />
<strong>Jan</strong>-<strong>Erik</strong> <strong>Jonsson</strong><br />
NMAP<br />
<strong>En</strong> <strong>portskanner</strong>, den kan användas till att kolla vilka portar som är öppna.<br />
Men även:<br />
• Vilka maskiner som är igång.<br />
• Vad de öppna portarna används till. Detta är en kvalificerad gissning.<br />
• Vilket OS som körs, version m.m. Fingerprinting, ännu en kvalificerad gissning.<br />
GUI (UNIX): nmpfe = xnmap.<br />
HUR?<br />
Skickar paket till en maskin och kollar svar. Många olika varianter.<br />
Ex. (Inte fullständigt beskrivna):<br />
• Ping (icmp ping)<br />
• Koppla upp TCP, TCP-handshake, är ofta loggade ofta.<br />
SYN �<br />
� SYN/ACC eller RST<br />
ACC �<br />
• Halv-öppen TCP<br />
SYN �<br />
� SYN/ACC (porten öppen), RST (stängd), inget svar (stängd, filter eller brandvägg ??)<br />
Avbryt<br />
• UDP-scans<br />
Ingen handskakning, därför svårare att tolka. Ofta långsamt.<br />
De olika varianterna kan kombineras. Det finns många växlar som gör vissa kombinationer<br />
Ex:<br />
• -O Försöker avgöra OS m.m. genom fingerprinting, många OS har ett<br />
karaktäristiskt svarsmönster.<br />
• -sI Idle scan.<br />
• -F Fast scan, Testar bara vissa utvalda portar.<br />
• -v Verbose, ger mer info.<br />
• -vv Very verbose, ännu mer info.<br />
Vissa typer av skanningar, typ stealth, fungerar inte på labbdatorerna.<br />
REKOMMENDERAD LÄSORDNING AV MATERIALET PÅ NÄTET<br />
Nmap tutorial, Nmap manual, Host discovery, Lamont Nmap-guide.<br />
Alla beskriver Nmap, ej NmapFE (GUI). Mer finns på http://www.insecure.org<br />
ÖVRIGT<br />
Läs kap. 2 ”Identifying Methods of Testing for Vulnerabilities”,<br />
kap. 17 “Exploring the free tools” etc.<br />
F2_<strong>Scanner</strong>_Sniffer.doc<br />
1/2<br />
<strong>2005</strong>-<strong>03</strong>-<strong>30</strong>
<strong>Scanner</strong> <strong>Snffer</strong><br />
<strong>Jan</strong>-<strong>Erik</strong> <strong>Jonsson</strong><br />
ETHEREAL<br />
<strong>En</strong> paketsniffer, analysator. Handboken är mycket bra och omfattande och det finns en bra<br />
FAQ på http://www.ethereal.com<br />
VAD KAN EN SNIFFER LYSSNA PÅ?<br />
Det beror på nätverkskonfigurationen. Den kan inte höra något annat än det som når<br />
nätverksintefacet (nätverkskortet).<br />
• Promiscuous mode. <strong>En</strong> inställning i nätverksintefacet. I Promiscuous mode släpper<br />
nätverkskortet igenom all trafik som når det, in till datorn. Normalt så släpper det bara<br />
igenom paket adresserat till datorn samt broadcast-paket.<br />
<strong>En</strong> sniffer är ett användbart verktyg för att kolla trafiken till och från din dator. Men vad kan<br />
en hacker göra med en sniffer?<br />
• ”Hemlig” installation<br />
• Pw-sniffing<br />
• m.i.m-attack<br />
• MAC-flooding<br />
FILTER<br />
Det finns två filtertyper i Ethereal.<br />
• Capture-filter Vilken trafik ska ”fångas” och sparas.<br />
• Display-filter Vilken av den sparade trafiken ska visas.<br />
Tyvärr har de olika syntax.�<br />
ÖVRIGT<br />
Läs kap. 10,<br />
kap. 17 “Exploring the free tools” etc.<br />
STANDARDVERTYGEN<br />
Glöm inte dessa.<br />
ping, nslookup, traceroute, finger etc.<br />
Testa även http://www.uptime.netcraft.com/up/graph<br />
F2_<strong>Scanner</strong>_Sniffer.doc<br />
2/2<br />
<strong>2005</strong>-<strong>03</strong>-<strong>30</strong>