Сканування портів

Частина №1. Сканування портів

Мета роботи: ознайомлення з функціональністю утиліти Nmap. Усвідомлення етапів процесу сканування та їх результатів. Побудова висновків про захищеність цільової системи на основі результатів сканування

Хід роботи

1. Встановлення утиліти Nmap на машину.
2. Вивчення та ознайомлення з основними параметрами сканування, а також їх впливом на процес та результати сканування.
3. Здійснення сканування з відкриттям повного TCP-з’єднання.
4. Здійснення Stealth-сканування.
5. Здійснення сканування з виведенням розширеної інформації (версія ОС, трасування , версії сервісів).
6. Здійснення швидкого сканування
7. Здійснення сканування всіх портів

Сканування TCP SYN

Не відкривається повне TCP-з’єднання

nmap –sS scanme.nmap.org

[pic 1]

Сканування з параметром визначення ОС, визначення версій, сканування сценаріїв та трасування

nmap –A scanme.nmap.org

[pic 2]

[pic 3]

Швидке сканування з параметрами попереднього пункту

nmap –A –T4 scanme.nmap.org

[pic 4]

[pic 5]

Сканування всіх портів

nmap –sV scanme.nmap.org

[pic 6]

Відповіді на контрольні запитання

1. Яку команду ви використовували для сканування портів включаючи аргументи?
   nmap –sS scanme.nmap.org
   nmap –A scanme.nmap.org
   nmap –A –T4 scanme.nmap.org
   nmap –sV scanme.nmap.org
2. Яка IP адреса scanme.nmap.org
   45.33.32.156
3. Яка операційна система виконується на цільовій машині, і яку версію вона має?
   linux 3.10 -3.19
   
4. Які порти є відкритими(які процеси на них запущені) і які їх версії?
   22/tcp         open     ssh    OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.11 (Ubuntu Linux; protocol 2.0)

80/tcp         open     http       Apache httpd 2.4.7 ((Ubuntu))

9929/tcp     open     nping-echo  Nping echo

31337/tcp   open     tcpwrapped

1. Чи існує в цільовій системі процес ssh і яка його версія ?
   OpenSSH 6.6.1
2. Яка технологія доступу до веб-ресурсів реалізована, і на якому порту забезпечується доступ?
   80 порт,  http, Apache httpd 2.4.7

Частина №2. Wireshark Packet sniffing

Мета роботи: ознайомлення з функціональністю утиліти Wireshark. Усвідомлення залежності результатів сканування утилітою Nmap від шаблону трафіку.

Хід роботи

1. Встановлення утиліти Wireshark на машину.
2. Ознайомлення з інтерфейсом та основними функціональними можливостями утиліти.
3. Здійснення різних видів сканування та аналіз трафіку.

Що означає, що порт є “closed”?

Порт є доступним, але не використовується будь-яким додатком. Пакет відповіді включає в себе наступні прапорці : RST, ACK.

[pic 7]

Що означає, що порт є “filtered”?

Nmap не може визначити, яким є порт, адже фільтрація пакетів не дає запиту дістатись до цільового порту. У відповідь на SYN пакет, цільовий хост не відповідає, відбувається повторний SYN запит.

[pic 8]

Які типи HTTP –запитів виконує Nmap?

В рамках виконання NSE-скриптів, здійснюються всі види запитів.

Частина №3. Аналіз файлів протоколювання

Мета роботи: розробка алгоритму парсингу дампу TCP-трафіку для фільтрації даних за заданими умовами.

Хід роботи

1.      Здійснення захоплення пакетів процесу сканування Nmap.
2. Вивантаження дампу у форматі json.
3. Парсинг файлу за допомогою користувацького алгоритму.

Алгоритм розроблено на мові c#:

public class IpInfo

    {

        [JsonProperty("ip.src")]

        public string ip_src { get; set; }

        [JsonProperty("ip.dst")]

        public string ip_dst { get; set; }

    }

    public class TcpFlags

    {

        [JsonProperty("tcp.flags.syn")]

        public int tcp_syn { get; set; }

        [JsonProperty("tcp.flags.ack")]

        public int tcp_ack { get; set; }

        [JsonProperty("tcp.flags.reset")]

        public int tcp_rst { get; set; }

    }

    public class TcpInf

    {

        [JsonProperty("tcp.flags_tree")]