Internet Architektur, Protokolle und Management Netstat und Nmap. Alexander Kretzschmar

Transkript

1 Internet Architektur, Protokolle und Management Netstat und Nmap Alexander Kretzschmar Worms den, 6. Juni

2 INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Netstat (NETwork STATus) Allgemein Installation Socket-Zustände Optionen Nmap Allgemein Installation Half Open Scan (nmap -ss) Aktiv Open Scan (nmap -st) FIN Stealth Scan (nmap -sf) Ping Scanning (nmap -sp) UDP-Scans (nmap -su) IP Protocol-Scans (nmap -so) ACK-Scan (nmap -sa) RPC-Scan (nmap -sr) List-Scan (nmap -sl) Window-Scan (nmap -sw) Fingerprint (nmap -O) weiter Optionen Logfiles Netstat und Nmap, Alexander Kretzschmar

3 ABBILDUNGSVERZEICHNIS ABBILDUNGSVERZEICHNIS Abbildungsverzeichnis 1 Ausgabe Nestat -atu Ausgabe Nestat -rn Ausgabe Nestat -i Schaubild Nmap Half Open Scan Scanausschnitt Nmap Half Open Scan Schaubild Nmap Aktiv Open Scan Scanausschnitt Aktiv Open Scan Schaubild Nmap FIN Stealth Scan Scanausschnitt FIN Stealth Scan Scanausschnitt Ping Scanning Scanausschnitt UDP-Scan Scanausschnitt IP Protokoll Scan Scanausschnitt ACK Scan Scanausschnitt RPC Scan Scanausschnitt List Scan Scanausschnitt Window Scan Scanausschnitt Fingerprint Netstat und Nmap, Alexander Kretzschmar

4 Netstat (NETwork STATus) 1 Netstat (NETwork STATus) 1.1 Allgemein Netstat ist ein Netzwerktool, mit dessen Hilfe es möglich ist, ein Netzwerk von Innen zu scannen. Einige Optionen davon sind Netzwerkverbindungen und die entsprechenden Ports anzuzeigen, Desweitern ist es möglich sich die Routingtabelle, bzw. die Masqueradingverbindung ausgeben zu lassen. Auch die Anzeige der Netzwerkinterfaces ist möglich. Das Tool dient insbesonders dazu, die einzelnen Prozesse mit Ihren Netzwerkverbindungen anzuzeigen. Netstat zeigt offene und aktive Verbindungen an von jedem Socket und für jedes relevante Protokoll(TCP,UDP,IP.ICMP,RAW). Bei der Ausgabe eines Netstat Befehls ist Genmask die Subnetzmaske, MSS die Maximum Segment Size,irtt die Interface Round-Trip-Time und Iface das Interface. RECV-Q gibt die Anzahl der Bytes an, die nicht vom User-Programm kopiert wurden, welches gerade an den Socket angehängt ist.send-q gibt die Anzahl der Bytes an, die nicht vom Remote-Host bestätig wurden. Noch folgende Flags sind bei einer Ausgabe zu beachten: G = Route geht zu einem Gateway D = Route wurde dynamisch erstellt A = Adressauflösungseintrag B = Broadcast Adresse L = lokale Adresses des Hosts 1.2 Installation Debian Spezifisch: apt-get install net-tools 4 Netstat und Nmap, Alexander Kretzschmar

5 Netstat (NETwork STATus) Socket-Zustände 1.3 Socket-Zustände Ein Socket kann einer der folgenden Zustände haben: ESTABLISHED (The socket has an established connection) SYN_SEND (The socket is actively attempting to establish a connection) SYN_RECV (A connection request has been received from the network) FIN_WAIT1 (The socket is closed, and the connection is shutting down) FIN_WAIT2 (Connection is closed, and the socket is waiting for a shutdown from the remote end) TIME_WAIT (The socket is waitung after close to handle packets still in the network) CLOSE (The socket is not being used) CLOSE_WAIT (The remote end has shut down,waiting for the socket to close) LAST_ACK (The remote end has shut down, and the socket is closed. Waiting for acknowledgement) LISTEN (The socket is listening for incoming connections. Such sockets are not included in the output unless you specify the listening (-l) or all (-a) option.) CLOSING (Both sockets are shut down but we still don t have all our data sent) 5 Netstat und Nmap, Alexander Kretzschmar

6 Netstat (NETwork STATus) Optionen 1.4 Optionen Netstat -a : zeigt alle Sockets an, ob listening und non-listening Netstat -t : zeigt nur die tcp Verbindungen an Netstat -u : zeigt nur die udp Verbindungen an Netstat -w : zeigt nur die raw Verbindungen an Netstat -e : gibt erweiterte Informationen über die Verbindung an Netstat -p : gibt die Prozessnummer und den Prozessnamen mit aus Netstat -o : zeigt Informationen über den Netzwerktimer Netstat -n : gibt alle Informationen nummerisch aus Netstat numeric-host : gibt nur den Host nummerisch aus Netstat numeric-ports: gibt nur den Port nummerisch aus Netstat numeric-users: gibt nur die Users nummerisch aus Netstat -l: gibt nur Verbindungen um Status Listening Netstat -c: Frischt die Informationen aller Sekunde auf Netstat -r: Ausgabe der Routingtabelle Netstat -i: Anzeigen aller Netzwerkinterfaces Netstat -C: Zeigt die Routing-Informationen vom Routing Cache an. Netstat -s: Anzeige der Netzwerkstatistik 6 Netstat und Nmap, Alexander Kretzschmar

7 Netstat (NETwork STATus) Optionen Typische Ausgabe von Netstat: :~ $ n e t s t a t atu Aktive Internetverbindungen ( Server und stehende Verbindungen ) Proto Recv Q Send Q Local Address Foreign Address S t a t e tcp 0 0 : : LISTEN tcp 0 0 : d i c t : LISTEN tcp 0 0 : bootpc : LISTEN tcp 0 0 Mars : : LISTEN tcp 0 0 : sunrpc : LISTEN tcp 0 0 : : LISTEN tcp 0 0 : f t p : LISTEN tcp 0 0 : ipp : LISTEN tcp 0 0 : : LISTEN tcp 0 0 : : LISTEN tcp : pop. gmx. de : pop3 TIME_WAIT tcp : swemmel. fh worms. d : pop3 SYN_SENT tcp : : VERBUNDEN tcp : : VERBUNDEN udp 0 0 : : udp 0 0 : : udp : : udp 0 0 : sunrpc : udp 0 0 : ipp : Abbildung 1: Ausgabe Nestat -atu Anzeige der Routingtabelle und Netzwerkinterfaces: alex@mars :~ $ n e t s t a t rn Kernel IP Routentabelle Z i e l Router Genmask Flags MSS Fenster i r t t I f a c e U eth UG eth1 Abbildung 2: Ausgabe Nestat -rn alex@mars :~ $ n e t s t a t i Kernel S c h n i t t s t e l l e n t a b e l l e I f a c e MTU Met RX OK RX ERR RX DRP RX OVR TX OK TX ERR TX DRP TX OVR Flg eth BMRU lo LRU Abbildung 3: Ausgabe Nestat -i 7 Netstat und Nmap, Alexander Kretzschmar

8 2 Nmap 2.1 Allgemein Nmap wurde entwickelt, um Systemadministratoren die Moeglichkeit zu geben, größere Netzwerke auf ihre Sicherheit hin zu überprüfen. Nmap unterstützt eine Vielzahl verschiedener Scanning-Techniken, wie z.b. UDP, TCP connect(), TCP SYN (half open), FTP-Proxy (bounce attack), Reverse-ident, ICMP (Ping-Suchlauf), FIN, ACK-Suchlauf, Xmas- Tree, SYN-Suchlauf, IP-Protocol und Null-Scan. Weiter Möglichkeiten von Nmap sind das Erkennen von Betriebssystemen mittels TCP/IP-Fingerprinting, Stealth-Scanning, dynamische Verzögerungen und Übertragungswiederholungs-Berechnungen, paralleles Scanning, Entdecken abgeschalteter Systeme mittels parallelem Scanning, Decoy- Scanning, entdecken von Port-Filtering, direktes RPC-Scanning (ohne Portmapper), fragmentiertes Scanning sowie flexible Ziel und Port Spezifizierung. Wichtige Informationen: Wenn möglich, alle Scans mit Root Privilegien durchführen -> alle Scans möglich Falls keine Root Privilegien vorhanden nur eingeschränktes Scannen möglich 2.2 Installation Debian Spezifisch: apt-get install nmap apt-get install nmap -> falls gewünscht graphisches Frontend 8 Netstat und Nmap, Alexander Kretzschmar

9 Half Open Scan (nmap -ss) Funktionsweise: Angreifer iniziert Verbindungsaufbau zum Ziel mit SYN Packet Angreifer erwartet ein SYN/ACK zurück -> dann ist der Port offen Angreifer bekommt ein RST Packet zurück -> Port ist geschlossen Vor -und Nachteile: Verbindung wird nicht hergestellt -> keine Protokollierung Vorteil für Angreifer Nachteil für Geschädigten -> ist schwieriger zu Entdecken Erfordert Root Rechte Abbildung 4: Schaubild Nmap Half Open Scan 9 Netstat und Nmap, Alexander Kretzschmar

10 :/home/alex # nmap ss / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :18 CEST I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 23/ tcp open t e l n e t 80/ tcp open http I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 21/ tcp open f t p 68/ tcp open dhcpclient 111/ tcp open rpcbind 631/ tcp open ipp 766/ tcp open unknown 1723/ tcp open pptp 10000/ tcp open snet sensor mgmt I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 139/ tcp open netbios ssn Nmap run completed 256 IP addresses ( 3 hosts up ) scanned in seconds Abbildung 5: Scanausschnitt Nmap Half Open Scan 10 Netstat und Nmap, Alexander Kretzschmar

11 2.3.2 Aktiv Open Scan (nmap -st) Funktionsweise: Angreifer iniziert Verbindungsaufbau zum Ziel mit SYN Packet Angreifer bekommt SYN/ACK zurück und sendet ACK Wenn der 3 WHS geklappt hat -> Port offen Vor -und Nachteile: Sehr einfache Scanmethode jeder Benutzer darf Sie durchführen Erfordert keine Root Rechte Ist sehr leicht aufzuspühren, da ein kompletter Verbindungsaufbau durchgeführt wird Abbildung 6: Schaubild Nmap Aktiv Open Scan 11 Netstat und Nmap, Alexander Kretzschmar

12 Mars :/home/alex$ nmap st / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :55 CEST I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 23/ tcp open t e l n e t 80/ tcp open http I n t e r e s t i n g ports on Mars ( ) : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 9/ tcp open discard 13/ tcp open daytime 21/ tcp open f t p 22/ tcp open ssh 37/ tcp open time 111/ tcp open rpcbind 631/ tcp open ipp Nmap run completed 256 IP addresses ( 2 hosts up ) scanned in seconds Abbildung 7: Scanausschnitt Aktiv Open Scan 12 Netstat und Nmap, Alexander Kretzschmar

13 2.3.3 FIN Stealth Scan (nmap -sf) Funktionsweise: Es findet kein Verbindungsaufbau statt Angreifer sendet bei FIN Stealth Scan ein FIN Packet bekommt der Angreifer ein RST zurück (BS abhängig) -> ist der Port geschlossen falls kein RST zurück kommt ist der Port offen beim Xmas-Tree-Scan werden die Flags FIN, URG, PSH gesendet der Null-Scan schaltet alles optionalen Flags ab Vor -und Nachteile: Verbindung wird nicht hergestellt -> keine Protokollierung Vorteil für Angreifer Nachteil für Geschädigten -> ist schwieriger zu Entdecken Erfordert Root Rechte durch die Unterschiedlichen Anworten auf das FIN kann man auch auf das Betriebssystem schliesen Abbildung 8: Schaubild Nmap FIN Stealth Scan 13 Netstat und Nmap, Alexander Kretzschmar

14 Mars :/home/alex$ nmap sf / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :14 CEST All scanned ports on are : closed I n t e r e s t i n g ports on Mars ( ) : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 9/ tcp open discard 13/ tcp open daytime 21/ tcp open f t p 22/ tcp open ssh 37/ tcp open time 111/ tcp open rpcbind 631/ tcp open ipp Nmap run completed 256 IP addresses ( 2 hosts up ) scanned in seconds Abbildung 9: Scanausschnitt FIN Stealth Scan 14 Netstat und Nmap, Alexander Kretzschmar

15 2.3.4 Ping Scanning (nmap -sp) Funktionsweise: Dient zur Feststellung welche Rechner Online sind Dazu verwendet nmap 3 Verschiedene Methoden ICMP echo request Anfrage TCP Packet mit ACK an port 80, -> Antwort mit RST : Rechner ist online TCP Packet mit SYN -> Antwort entweder RST oder SYN/ACK der Ping Scan verwendet als erstet den ICMP echo request, falls dieser aber durch eine Firewall entfernt wurden ist, versucht Ping Scan mit dem Protokoll TCP auf Port 80 und gesetzer ACK Flage um die Erreichbarkeit der einzelnen Rechner zu überprüfen. Die letze Möglichkeit wäre dann noch eine Anfrage mit gesetztem SYN Bit. Vor -und Nachteile: jeder Benutzer darf Sie durchführen Erfordert keine Root Rechte root@mars :/home/alex # nmap sp / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :30 CEST Host appears to be up. Host appears to be up. Host appears to be up. Nmap run completed 256 IP addresses ( 3 hosts up ) scanned in seconds Abbildung 10: Scanausschnitt Ping Scanning 15 Netstat und Nmap, Alexander Kretzschmar

16 2.3.5 UDP-Scans (nmap -su) Funktionsweise: Dient zum Aufspühren offener UDP Ports senden eines 0 Byte ICMP Paketes an jeden Port kommt ICMP Port unreachable zurück -> ist der Port geschlossen kommt kein ICMP Port unreachable zurück -> ist der Port offen Vor -und Nachteile: der Scan ist sehr langsam, da seit Empfehlung von RFC 1812, ICMP Fehlermeldungen die nach aussen gehen, limitiert wurden. Windows hält sich nicht an den Standard, dadurch ist das Scannen dieser Rechner kein Problem Erfordert Root Rechte root@mars :/home/alex # nmap su / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :55 CEST I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 67/udp open dhcpserver 69/udp open t f t p 520/udp open route I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 111/udp open rpcbind Nmap run completed 256 IP addresses ( 2 hosts up ) scanned in seconds Abbildung 11: Scanausschnitt UDP-Scan 16 Netstat und Nmap, Alexander Kretzschmar

17 2.3.6 IP Protocol-Scans (nmap -so) Funktionsweise: Zeigt die unterstützen Protokoll Typen des Zielsytems an Senden eines RAW IP Packetes mit fehlendem Protokoll Header kommt ICMP Port unreachable zurück -> Protokol nicht unterstützt kommt kein ICMP Port unreachable zurück -> Protokol unterstützt einige Betriebssyteme unterstützen das versenden von ICMP Protokol unreachable nicht -> dann sind alle Ports offen (z.b. Windows) Vor -und Nachteile: einige BS unterstützen ICMP nicht Erfordert Root Rechte I n t e r e s t i n g p r o t o c o l s on : ( The p r o t o c o l s scanned but not shown below are in s t a t e : closed ) PROTOCOL STATE SERVICE 1 open icmp 2 open igmp 6 open tcp 1 7 open udp open unknown I n t e r e s t i n g p r o t o c o l s on : PROTOCOL STATE SERVICE 0 open hopopt 1 open icmp 2 open igmp 3 open ggp 4 open ip 5 open s t 6 open tcp 7 open cbt 8 open egp 9 open igp 1 0 open bbn rcc mon 1 1 open nvp i i 1 2 open pup 1 3 open argus Abbildung 12: Scanausschnitt IP Protokoll Scan 17 Netstat und Nmap, Alexander Kretzschmar

18 2.3.7 ACK-Scan (nmap -sa) Funktionsweise: Dient zu Indentifizierung eines Firewall-Regelwerkes Sendet ein ACK Paket mit beliebiger Bestätigungs und Sequenznummer kommt ein Packet mit gesetzen RST Flag zurück -> ungefiltert kommt nichts oder ICMP unreachable zurück -> filtered Vor -und Nachteile: Erfordert Root Rechte S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :32 CEST All scanned ports on are : UNfiltered All scanned ports on are : UNfiltered Nmap run completed 256 IP addresses ( 2 hosts up ) scanned in seconds Abbildung 13: Scanausschnitt ACK Scan 18 Netstat und Nmap, Alexander Kretzschmar

19 2.3.8 RPC-Scan (nmap -sr) Funktionsweise: Dient zu Identifikation von RPC-Ports Diese Scan Methode arbeitet mit den meisten möglichen Scan-Typen zusammen Jeder als offen identifizierte TCP und UDP Port wird mit einer Vielzahl von SunRPC Nullkommandos überflutet Wird ein solcher Port gefunden, wird der Programmname und die Version ausgelesen. Vor -und Nachteile: Erfordert keine Root Rechte :/home/alex # nmap sr S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :45 CEST I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE VERSION 21/ tcp open f t p 68/ tcp open dhcpclient 111/ tcp open rpcbind ( rpcbind V2 ) 2 ( rpc # ) 631/ tcp open ipp 766/ tcp open unknown 1723/ tcp open pptp 10000/ tcp open snet sensor mgmt Abbildung 14: Scanausschnitt RPC Scan 19 Netstat und Nmap, Alexander Kretzschmar

20 2.3.9 List-Scan (nmap -sl) Funktionsweise: Listet alle IP-Adressen und Hostnamen auf Eine Namensauflösung findet über DNS statt DNS Auflösung kann mit -n unterdrückt werden. Vor -und Nachteile: Erfordert keine Root Rechte :~ $ nmap sl / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :49 CEST Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host Mars ( ) not scanned Host not scanned Host not scanned Host not scanned Host not scanned Host not scanned... Host not scanned Host not scanned Host not scanned Nmap run completed 256 IP addresses ( 0 hosts up ) scanned in seconds Abbildung 15: Scanausschnitt List Scan 20 Netstat und Nmap, Alexander Kretzschmar

21 Window-Scan (nmap -sw) Funktionsweise: dem ACK Scan sehr ähnlich Manchmal werden auch offene und ungefilterte, bzw gefiltert Ports gefunden dies ist allerdings abhängig vom Betriebssytem Vor -und Nachteile: Erfordert Root Rechte Verschiedene Systeme sind dagegen verwundbar (Amiga,BeOS,VAX,FreeBSD,MacOS,Ultrix...) Mars :/home/alex$ nmap sw / 2 4 S t a r t i n g nmap ( http ://www. insecure. org/nmap / ) at :20 CEST All scanned ports on are : closed All scanned ports on Mars ( ) are : closed Nmap run completed 256 IP addresses ( 2 hosts up ) scanned in seconds Abbildung 16: Scanausschnitt Window Scan 21 Netstat und Nmap, Alexander Kretzschmar

22 Fingerprint (nmap -O) Funktionsweise: Indentifizierung des am Zielsystem eingesetzten Betriebssytems Es werden verschiedene Tests umgesetzt,die die jeweilige TCP/IP Implementierung erkennen soll Diese Informationen stellen quasi ein Fingerabdruck dar, dieser wird dann mit der Datenbank der bekannten Betriebssysteme verglichen Vor -und Nachteile: Erfordert Root Rechte Aktuelle Fingerprint Dateien können aus dem Internet bezogen werden Uptime days ( s i n c e Sat Mar : 3 0 : ) I n t e r e s t i n g ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 21/ tcp open f t p 68/ tcp open dhcpclient 111/ tcp open rpcbind 631/ tcp open ipp 679/ tcp open unknown 1723/ tcp open pptp 10000/ tcp open snet sensor mgmt Device type : general purpose Running : Linux X 2. 5.X OS d e t a i l s : Linux Kernel Uptime days ( s i n c e Sat Mar : 3 9 : ) Arrestingern ports on : ( The ports scanned but not shown below are in s t a t e : closed ) PORT STATE SERVICE 139/ tcp open netbios ssn Device type : general purpose Running : Microsoft Windows 95/98/ME NT/2K/XP OS d e t a i l s : Microsoft Windows NT SP5, NT 4. 0 or 95/98/98SE Nmap run completed 256 IP addresses ( 3 hosts up ) scanned in seconds Abbildung 17: Scanausschnitt Fingerprint 22 Netstat und Nmap, Alexander Kretzschmar

23 weiter Optionen nmap -P0: verhintert das Pingen eines Hosts bevor er gescannt wird. Dadurch ist es möglich Netzwerke zu scannen bei denen kein ICMP zugelassen wird nmap -PT: Nutzt TCP Ping um die Erreichbarkeit eines Host zu überprüfen. Es wird ein TCP Paket mit ACK gesendet, kommt ein RST zurück -> Port offen Auch einzelne Ports lassen sich so scannen nmap -PT80 nmap -PS: Funktioniert wie PT nutzt statt ACK wird ein SYN gesendet. die Anwort kann ein RST oder SYN/ACK Packet sein nmap -PI: Klassischer ICMP Ping (echo request und echo replay) nmap -PB: verwendet beide Ping Typen (-PT und -PI) der beiden Scantypen werden parallel ausgeführt nmap -il: -il <Eingabe-Dateiname> Liest Zielhosts aus einer Datei ein 23 Netstat und Nmap, Alexander Kretzschmar

24 Logfiles -on <Protokoll-Dateiname> gibt den Scan normal aus und schreibt in zusätzlich in eine Datei -ox <Protokoll-Dateiname> gleiche wie oben nur wird hier die Datei als XML File geschrieben -og <Protokoll-Dateiname> eher uninteressant speichert Daten so das man sie gut grepen kann, war ursprünglich zu weiterverarbeitung für andere Programme gedacht, durch -ox ersetzt -oa <Basisdateiname> erstellt alle 3 Versionen -on, -ox, -og mit je unterschiedlicher Endung 24 Netstat und Nmap, Alexander Kretzschmar