Melakukan Pemindaian Stealth dengan Nmap

Ada banyak tantangan yang dihadapi peretas, tetapi untuk menangani pengintaian adalah salah satu masalah yang paling menonjol. Penting untuk mengetahui tentang sistem target sebelum mulai meretas. Penting untuk mengetahui detail tertentu, seperti port mana yang terbuka, layanan apa yang sedang berjalan, alamat IP apa, dan sistem operasi mana yang digunakan oleh target. Untuk memulai proses peretasan, Anda perlu memiliki semua informasi ini. Dalam kebanyakan kasus, peretas akan membutuhkan waktu ekstra dalam pengintaian alih-alih mengeksploitasi segera.

Alat yang digunakan untuk tujuan ini disebut Nmap. Nmap memulai dengan mengirimkan paket yang dibuat ke sistem yang ditargetkan. Kemudian akan melihat respons sistem, termasuk sistem operasi mana yang berjalan, dan port serta layanan apa yang terbuka. Namun sayangnya, baik firewall yang bagus maupun sistem deteksi intrusi jaringan yang kuat tidak akan dengan mudah mendeteksi dan memblokir jenis pemindaian seperti itu.

Kami akan membahas beberapa metode terbaik untuk membantu melakukan pemindaian tersembunyi tanpa terdeteksi atau diblokir. Langkah-langkah berikut termasuk dalam proses ini:

1. Pindai menggunakan protokol TCP Connect
2. Pindai menggunakan bendera SYN
3. Pemindaian alternatif
4. Jatuh di bawah ambang batas

1. Pindai Menggunakan Protokol TCP

Pertama, mulailah memindai jaringan menggunakan protokol koneksi TCP. Protokol TCP adalah pemindaian yang efektif dan andal karena akan membuka koneksi sistem target. Ingatlah bahwa -P0 sakelar digunakan untuk tujuan ini. Itu -P0 switch akan menahan ping Nmap yang dikirim secara default sementara juga memblokir berbagai firewall.

$ sudo nmap -sT -P0 192.168.1.115

Dari gambar di atas, Anda dapat melihat bahwa laporan port terbuka yang paling efektif dan andal akan dikembalikan. Salah satu masalah utama dalam pemindaian ini adalah bahwa itu akan menghidupkan koneksi di sepanjang TCP, yang merupakan jabat tangan tiga arah untuk sistem target. Acara ini mungkin direkam oleh keamanan Windows. Jika kebetulan peretasan berhasil, admin sistem akan mudah mengetahui siapa yang melakukan peretasan, karena alamat IP Anda akan terungkap ke sistem target.

2. Pindai Menggunakan Bendera SYN

Keuntungan utama menggunakan pemindaian TCP adalah mengaktifkan koneksi dengan membuat sistem lebih mudah, andal, dan tersembunyi. Juga, set flag SYN dapat digunakan bersama dengan protokol TCP, yang tidak akan pernah dicatat, karena jabat tangan tiga arah yang tidak lengkap. Ini dapat dilakukan dengan menggunakan yang berikut:

$ sudo nmap -sS -P0 192.168.1.115

Perhatikan bahwa outputnya adalah daftar port terbuka karena cukup andal dengan pemindaian koneksi TCP. Dalam file log, itu tidak meninggalkan jejak apa pun. Waktu yang dibutuhkan untuk melakukan scan ini, menurut Nmap, hanya 0.42 detik.

3. Pemindaian Alternatif

Anda juga dapat mencoba pemindaian UDP dengan bantuan protokol UBP yang mengandalkan sistem. Anda juga dapat melakukan pemindaian Null, yang merupakan TCP tanpa flag; dan Xmas scan, yang merupakan paket TCP dengan flag set P, U, dan F. Namun, semua pemindaian ini menghasilkan hasil yang tidak dapat diandalkan.

$ sudo nmap -sU -P0 10.0.2.15

$ sudo nmap -sN -P0 10.0.2.15

$ sudo nmap -sX -P0 10.0.2.15

4. Jatuh Di Bawah Ambang Batas

Firewall atau sistem deteksi intrusi jaringan akan memperingatkan admin tentang pemindaian karena pemindaian ini tidak dicatat scan. Hampir setiap sistem deteksi intrusi jaringan dan firewall terbaru akan mendeteksi jenis pemindaian seperti itu dan memblokirnya dengan mengirimkan pesan peringatan. Jika sistem deteksi intrusi jaringan atau firewall memblokir pemindaian, itu akan menangkap alamat IP dan pemindaian kami dengan mengidentifikasinya.

SNORT adalah sistem deteksi intrusi jaringan yang terkenal dan populer. SNORT terdiri dari signature yang dibangun di atas aturan untuk mendeteksi scan dari Nmap. Set jaringan memiliki ambang batas minimum karena akan melalui lebih banyak port setiap hari. Level ambang batas default di SNORT adalah 15 port per detik. Oleh karena itu, pemindaian kami tidak akan terdeteksi jika kami memindai di bawah ambang batas. Untuk menghindari sistem deteksi intrusi jaringan dan firewall dengan lebih baik, Anda perlu memiliki semua pengetahuan yang tersedia knowledge.

Untungnya, dimungkinkan untuk memindai menggunakan kecepatan yang berbeda dengan bantuan Nmap. Secara default, Nmap terdiri dari enam kecepatan. Kecepatan ini dapat diubah dengan bantuan -T sakelar, bersama dengan nama atau nomor kecepatan. Enam kecepatan berikut adalah:

paranoid 0, licik 1, sopan 2, normal 3, agresif 4, gila 5

Kecepatan paranoid dan licik adalah yang paling lambat, dan keduanya berada di bawah ambang batas SNORT untuk berbagai pemindaian port. Gunakan perintah berikut untuk memindai dengan kecepatan licik:

$ nmap -sS -P0 -T licik 192.168.1.115

Di sini, pemindaian akan melewati sistem deteksi intrusi jaringan dan firewall tanpa terdeteksi. Kuncinya adalah menjaga kesabaran selama proses ini. Beberapa pemindaian, seperti pemindaian kecepatan licik, akan memakan waktu 5 jam per alamat IP, sedangkan pemindaian default hanya akan memakan waktu 0.42 detik.

Kesimpulan

Artikel ini menunjukkan cara melakukan pemindaian tersembunyi menggunakan alat Nmap (Network Mapper) di Kali Linux. Artikel ini juga menunjukkan cara bekerja dengan berbagai serangan siluman di Nmap.