XENTURIANS: Cómo detectar la exploración NMAP con Snort

Hoy vamos a discutir cómo detectar el escaneo NMAP usando Snort, pero antes de seguir adelante, lea amablemente nuestros artículos anteriores relacionados con la instalación de Snort ( manual o usando apt-respiratorio ) y su configuración de reglas para habilitarlo como IDS para su red.
Básicamente, en este artículo, estamos probando Snort contra varios escaneos de NMAP que ayudarán al analista de seguridad de red a configurar la regla de snort de tal manera que se den cuenta de cualquier tipo de escaneo de NMAP.
Requisito
Atacante: Kali Linux (Escaneo NMAP)
Objetivo: Ubuntu (Snort como IDS)
Opcional: Wireshark (lo hemos agregado en nuestro tutorial para que podamos confirmar claramente todos los paquetes entrantes y salientes de una red)
¡Comencemos!

Identificar escaneo de ping NMAP

Como sabemos, cualquier atacante comenzará el ataque identificando el estado del host enviando un paquete ICMP mediante el escaneo de ping. Por lo tanto, sea inteligente y agregue una regla en snort que analizará el escaneo de ping de NMAP cuando alguien intente escanear su red para identificar un host en vivo de una red.
Ejecute el siguiente comando en la terminal de ubuntu para abrir el archivo de reglas locales de snort en el editor de texto.

sudo gedit /etc/snort/rules/local.rules

1	sudo gedit / etc / snort / rules / local . rules

Ahora agregue la siguiente línea que capturará el tráfico entrante que entra en la red 192.168.1.105 (ubuntu IP) para el protocolo ICMP.

alert icmp any any -> 192.168.1.105 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000004; rev: 1;)

1	alert icmp any any -> 192.168.1.105 any ( msg : "NMAP ping sweep Scan" ; dsize : 0 ; sid : 10000004 ; rev : 1 ; )

Active el modo IDS de inhalación ejecutando el siguiente comando en la terminal:

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

1	sudo snort - A console - q - u snort - g snort - c / etc / snort / snort . conf - i eth0

Ahora, utilizando la máquina de ataque, ejecute el siguiente comando para identificar el estado de la máquina de destino, es decir, el host está ARRIBA o ABAJO.

nmap -sP 192.168.1.105 --disable-arp-ping

1	nmap - sP 192.168.1.105 -- disable - arp - ping

Si ejecutará el comando anterior sin el parámetro "deshabilitar arp-ping", funcionará como exploración de barrido de ping predeterminada que enviará paquetes arp a pesar de enviar ICMP en la red de destino y tal vez no pueda capturar la exploración de ping de NMAP en ese escenario, por lo tanto teníamos el parámetro "deshabilitar arp-ping" en el comando anterior.

Como había declarado anteriormente, por qué estamos involucrando a Wireshark en este tutorial para que pueda ver claramente el paquete que envía la red del atacante a la red de destino. Por lo tanto, en la imagen a continuación, puede observar el paquete de solicitud ICMP junto con los paquetes de respuesta ICMP. Ambos son partes del tráfico de la red.

Vuelva a su máquina de destino, donde snort captura todo el tráfico entrante. Aquí, observará que está generando una alerta para la exploración NMAP Ping Sweep. Por lo tanto, puede bloquear la IP del atacante para proteger su red de escaneos posteriores.

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

1	sudo snort - A console - q - u snort - g snort - c / etc / snort / snort . conf - i eth0

Identificar escaneo TCP NMAP

Ahora, para conectarse con la red de destino, un atacante puede realizar la enumeración de la red utilizando el Protocolo TCP o el protocolo UDP. Supongamos que el atacante puede elegir el escaneo TCP para la enumeración de la red y luego, en esa situación, podemos aplicar la siguiente regla en el archivo de regla local snort.

alert tcp any any -> 192.168.1.105 22 (msg: "NMAP TCP Scan";sid:10000005; rev:2; )

1	alert tcp any any -> 192.168.1.105 22 ( msg : "NMAP TCP Scan" ; sid : 10000005 ; rev : 2 ; )

La regla anterior solo es aplicable para el puerto 22, por lo que si desea escanear cualquier otro puerto, reemplace 22 del puerto que desea escanear o también puede usar "cualquiera" para analizar todos los puertos. Habilite el modo de inhalación NIDS como se hizo anteriormente.
Ahora, nuevamente utilizando la máquina atacante, ejecute el siguiente comando para el escaneo TCP en el puerto 22.

nmap -sT -p22 192.168.1.105

1	nmap - sT - p22 192.168.1.105

En la imagen que se muestra a continuación, puede observar que Wireshark ha capturado paquetes TCP de 192.168.1.104 a 192.168.1.105

Aquí puede confirmar que nuestro snort está funcionando absolutamente cuando el atacante está escaneando el puerto 22 usando el escaneo TCP de nmap y está mostrando la IP del atacante de donde viene el tráfico en el puerto 22. Por lo tanto, puede bloquear esta IP para proteger su red de un escaneo posterior.

Identificar escaneo NMAP XMAS

Como sabemos, la comunicación TCP sigue el protocolo de enlace de tres vías para establecer la conexión TCP con la máquina de destino, pero a veces en lugar de usar SYN, SYN / ACK, el atacante de bandera ACK elige la exploración XMAS para conectarse con el objetivo enviando paquetes de datos a través de Fin, PSH y URG banderas
Supongamos que el atacante puede elegir el escaneo XMAS para la enumeración de la red, luego, en esa situación, podemos aplicar la siguiente regla en el archivo de reglas local snort.

alert tcp any any -> 192.168.1.105 22 (msg:"Nmap XMAS Tree Scan"; flags:FPU; sid:1000006; rev:1; )

1	alert tcp any any -> 192.168.1.105 22 ( msg : "Nmap XMAS Tree Scan" ; flags : FPU ; sid : 1000006 ; rev : 1 ; )

Una vez más, la regla anterior solo es aplicable para el puerto 22 que escuchará el tráfico entrante cuando los paquetes provengan de las banderas Fin, PSH y URG. Por lo tanto, si desea escanear cualquier otro puerto, reemplace 22 del puerto que desea escanear; de lo contrario, también puede usar "cualquiera" para analizar todos los puertos. Habilite el modo de inhalación NIDS como se hizo anteriormente.
Ahora, nuevamente usando la máquina atacante, ejecute el siguiente comando para el escaneo XMAS en el puerto 22.

nmap -sX -p22 192.168.1.105

1	nmap - sX - p22 192.168.1.105

De la imagen a continuación se puede observar que Wireshark muestra que 2 paquetes de la máquina atacante a la máquina de destino se han enviado utilizando indicadores FIN, PSH, URG.

Regrese a su máquina de destino, donde snort captura todo el tráfico entrante, observará que está generando una alerta para el escaneo NMAP XMAP. Por lo tanto, puede bloquear la IP del atacante para proteger su red de escaneos posteriores.

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

1	sudo snort - A console - q - u snort - g snort - c / etc / snort / snort . conf - i eth0

Identificar el escaneo FIN de NMAP

En lugar de utilizar SYN, SYN / ACK y el indicador ACK para establecer una conexión TCP con la máquina objetivo, el atacante puede elegir el escaneo FIN para conectarse con el objetivo enviando paquetes de datos solo a través de indicadores Fin.
Supongamos que el atacante puede elegir el escaneo FIN para la enumeración de la red, luego, en esa situación, podemos aplicar la siguiente regla en el archivo de reglas local snort.

alert tcp any any -> 192.168.1.105 22 (msg:"Nmap FIN Scan"; flags:F; sid:1000008; rev:1;)

1	alert tcp any any -> 192.168.1.105 22 ( msg : "Nmap FIN Scan" ; flags : F ; sid : 1000008 ; rev : 1 ; )

Una vez más, la regla anterior solo es aplicable para el puerto 22 que escuchará el tráfico entrante cuando los paquetes provengan de Fin Flags. Por lo tanto, si desea escanear cualquier otro puerto, reemplace 22 del puerto que desea escanear; de lo contrario, también puede usar "cualquiera" para analizar todos los puertos. Habilite el modo de inhalación NIDS como se hizo anteriormente.
Ahora, nuevamente usando la máquina atacante, ejecute el siguiente comando para el escaneo FIN en el puerto 22.

nmap -sF -p22 192.168.1.105

1	nmap - sF - p22 192.168.1.105

De la imagen a continuación se puede observar que Wireshark muestra 2 paquetes de la máquina atacante a la máquina objetivo que se ha enviado utilizando indicadores FIN.

Regrese a su máquina de destino, donde snort captura todo el tráfico entrante aquí, observará que está generando una alerta para el escaneo NMAP FIN. Por lo tanto, puede bloquear la IP del atacante para proteger su red de escaneos posteriores.

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

1	sudo snort - A console - q - u snort - g snort - c / etc / snort / snort . conf - i eth0

Identificar escaneo NULL NMAP

En lugar de usar SYN, SYN / ACK y el indicador ACK para establecer una conexión TCP con la máquina de destino, el atacante puede elegir la exploración NULL para conectarse con el objetivo enviando paquetes de datos a través de indicadores NINGUNO solamente.
Supongamos que el atacante puede elegir el escaneo NULL para la enumeración de la red, luego, en esa situación, podemos aplicar la siguiente regla en el archivo de reglas local snort.

alert tcp any any -> 192.168.1.105 22 (msg:"Nmap NULL Scan"; flags:0; sid:1000009; rev:1; )

1	alert tcp any any -> 192.168.1.105 22 ( msg : "Nmap NULL Scan" ; flags : 0 ; sid : 1000009 ; rev : 1 ; )

Una vez más, la regla anterior solo es aplicable para el puerto 22 que escuchará el tráfico entrante cuando los paquetes provengan de NINGUNOS indicadores. Por lo tanto, si desea escanear cualquier otro puerto, reemplace 22 del puerto que desea escanear; de lo contrario, también puede usar "cualquiera" para analizar todos los puertos. Habilite el modo de inhalación NIDS como se hizo anteriormente.
Ahora, nuevamente usando la máquina atacante, ejecute el siguiente comando para el escaneo NULL en el puerto 22.

nmap -sN -p22 192.168.1.105

1	nmap - sN - p22 192.168.1.105

De la imagen a continuación se puede observar que Wireshark muestra 2 paquetes de la máquina atacante a la máquina de destino que se ha enviado utilizando NINGUNOS indicadores.

Regrese a su máquina de destino, donde snort captura todo el tráfico entrante, observará que está generando una alerta para el escaneo nulo de NMAP. Por lo tanto, puede bloquear la IP del atacante para proteger su red de escaneos posteriores.

sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

1	sudo snort - A console - q - u snort - g snort - c / etc / snort / snort . conf - i eth0

Identificar escaneo UDP NMAP

Para identificar el puerto UDP abierto y el atacante de servicios en ejecución, puede elegir el escaneo UDP NMAP para establecer una conexión con la máquina de destino para la enumeración de la red, entonces, en esa situación, podemos aplicar la siguiente regla en el archivo de reglas local snort.

alert udp any any -> 192.168.1.105 any ( msg:"Nmap UDP Scan"; sid:1000010; rev:1; )

1	alert udp any any -> 192.168.1.105 any ( msg : "Nmap UDP Scan" ; sid : 1000010 ; rev : 1 ; )

Una vez más, la regla anterior es aplicable para cada puerto UDP que escuchará el tráfico entrante cuando los paquetes lleguen a cualquier puerto UDP, por lo que si desea capturar el tráfico para cualquier puerto UDP en particular, reemplace "cualquiera" de ese número de puerto específico como se hizo anteriormente. Habilite el modo de inhalación NIDS como se hizo anteriormente.
Ahora, nuevamente usando la máquina atacante, ejecute el siguiente comando para un escaneo NULL en el puerto 22.

nmap -sU -p68 192.168.1.105

1	nmap - sU - p68 192.168.1.105

De la imagen a continuación se puede observar que Wireshark muestra 2 paquetes de la máquina atacante a la máquina de destino que ha estado enviando a través del puerto UDP.

Regrese a su máquina de destino, donde snort está capturando todo el tráfico entrante aquí, observará que está generando una alerta para el escaneo UDP de NMAP. Por lo tanto, puede bloquear la IP del atacante para proteger su red de escaneos posteriores.

XENTURIANS

Cómo detectar la exploración NMAP con Snort

Identificar escaneo de ping NMAP

Identificar escaneo TCP NMAP

Identificar escaneo NMAP XMAS

Identificar el escaneo FIN de NMAP

Identificar escaneo NULL NMAP

Identificar escaneo UDP NMAP

XENTURIANS

No hay comentarios:

Publicar un comentario

ARCHIVOS

Popular Posts

CLOUD

ETIQUETAS

Formulario de contacto