Добро пожаловать обратно, мои начинающие кибервоины!
Большинство из вас знают о возможностях nmap и скриптов nmap для разведки цели и целевых сетей. Эти инструменты можно использовать для решения множества задач, таких как простое сканирование портов служб и определение версий. Несмотря на мощь и простоту nmap , сканирование очень больших сетей может быть утомительно медленным. Именно здесь новаторский сканер Zmap демонстрирует свои сильные стороны.
Zmap был разработан в 2013 году группой исследователей из Мичиганского университета (Дэвид Адриан, Закир Дурумерик, Гульшан Сингх и Дж. Алекс Халдерман). Он был разработан для сканирования всего интернета в целях информационной безопасности, а не только одного IP-адреса или диапазона IP-адресов. При гигабитном соединении сканирование всего интернета по одному порту занимает около 45 минут! С помощью nmap такое же сканирование заняло бы месяцы.
Такая скорость открывает совершенно новые возможности сканирования, о которых мы раньше и не подозревали. Например, один из разработчиков Zmap смог оценить количество отключений электроэнергии во время урагана «Сэнди», просканировав все IP-адреса в зоне урагана, а затем экстраполировав эту информацию, где было электричество, а где — нет. Кроме того, этот инструмент можно использовать для определения того, когда и сколько систем по всему миру внедряют новые технологии. Возможности Zmap для оценки поверхности атак в глобальном интернете кажутся безграничными!
По сути, Zmap может предоставить нам картину поверхности интернет-атак практически в реальном времени. Именно это и пытается сделать такой сервис, как CenSys, используя Zmap для сбора данных.
Zmap достигает своей скорости благодаря использованию циклических мультипликативных групп . Это позволяет ZMap сканировать то же пространство примерно в 1300 раз быстрее, чем Nmap (nmap отправляет запросы и ожидает ответа перед отправкой следующего запроса). Программное обеспечение ZMap возводит каждое число от 1 до 2 в степень 32 (адресное пространство IPv4 составляет 32 бита) и создаёт итеративную формулу, которая гарантирует, что каждое из возможных 32-битных чисел будет просмотрено один раз в псевдослучайном порядке.
Эта скорость также может быть использована для эксплуатации уязвимостей. Например, при подключении к локальной сети относительно просто использовать всю доступную полосу пропускания и создать эффективную ситуацию отказа в обслуживании (DoS). Кроме того, хакеры-«черные хакеры» могут искать уязвимости по всему Интернету быстрее, чем администраторы успевают устанавливать исправления для своих систем.
Шаг №1: Запустите Kali и скачайте Zmap
Первый шаг — запустить Kali и открыть терминал.
Теперь нам нужно скачать и установить Zmap. Zmap есть в репозитории Kali, поэтому вам нужно только войти:
kali > sudo apt install zmap
Шаг №2: Справка Zmap
Прежде чем приступить к использованию этого мощного инструмента, давайте сначала заглянем в его файл справки.
кали > sudo zmap -h
Обратите внимание на основные параметры. Вы можете указать порт с помощью -p и выходной файл с помощью -o. Кроме того, параметры -r и -B определяют скорость и пропускную способность соответственно.
В параметрах сети можно указать порт источника (-s), IP-адрес источника (-S), шлюз (-G), интерфейс (-i) и VPN (-X).
В последней строфе экрана справки обратите внимание на примеры, приведённые выше. Также важно отметить, что Zmap по умолчанию использует сканирование TCP SYN и выводит результаты в формате ASCII на стандартный вывод (stdout) или в файл .csv, указанный с помощью опции -o.
Шаг №3: Запустите сканирование Zmap
Базовый синтаксис запуска Zmap прост:
zmap -p <порт> <IP-адрес> -o <выходной_файл>
Итак, чтобы просканировать 255 IP-адресов в сети класса B, мы можем ввести:
Кали > sudo zmap -p 80 172.217.0.0/24 -o IPresults.csv
Где:
-p 80 = сканировать на наличие открытого порта 80
172.217.0.0/24 = сканировать эти 255 IP-адресов
-o IPresults.csv = отправить результаты в CSV-файл с именем IPresults.csv
Когда мы нажимаем Enter, Zmap начинает сканировать это пространство IP-адресов и выводить результаты на экран (stdout).
Как видите, Zmap выполнил свою работу за считанные секунды, тогда как nmap, вероятно, потребовал бы несколько часов. Чтобы просмотреть вывод, введите:
кали > меньше IPresults.csv
Чтобы увидеть общее количество IP-адресов с открытым портом 80 в этом диапазоне IP-адресов, введите:
kali > wc -l IPresults.csv
Как видите, Zmap обнаружил, что у 162 IP-адресов из 255 порт 80 был открыт.
Шаг №4: Сканирование локальной сети
Теперь попробуем использовать Zmap для сканирования нашей локальной сети. Можно использовать ту же команду и параметры, что и выше, но вместо этого давайте используем локальный частный IP-адрес.
Кали > sudo zmap -p 80 10.0.2.15 -o LANresults.csv
Как вы можете видеть выше, Zmap отказывается сканировать нашу локальную сеть, поскольку по умолчанию Zmap заносит в черный список все частные IP-адреса.
Это можно исправить, просто открыв файл blacklist.conf в любом текстовом редакторе и закомментировав IP-адреса, которые нужно сканировать. Чёрный список Zmap находится по адресу /etc/zmap/blacklist.conf .
Кали > коврик для мыши sudo /etc/zmap/blacklist.conf
Закомментируйте (#) частный IP-адрес вашей сети (в моём случае я закомментировал строку 6). Теперь попробуем снова просканировать нашу локальную сеть.
Кали > sudo zmap -p 10.0.0.0/16 -o LANresults.csv
Будьте осторожны при использовании Zmap в локальной сети. Он может легко перегрузить вашу сеть и вызвать отказ в обслуживании (DoS). Рекомендуется ограничить пропускную способность, используемую Zmap, до 10 тысяч пакетов в секунду, чтобы избежать перегрузки сети. Для этого просто введите опцию ограничения пропускной способности -B, а затем 10M, например:
kali > sudo zmap -B 10M -p 80 10.0.0.0/16 -o LANresults.csv
Краткое содержание
Zmap — это уникальный инструмент для сбора информации о поверхности атак во всем Интернете или очень большой сети. Хотя он полезен для быстрого сканирования больших сетей, где сканирование с помощью nmap было бы трудоемким и утомительным, его истинное преимущество заключается в возможности собирать информацию с КАЖДОГО IP-адреса по всему миру. С помощью этого инструмента как киберпреступники, так и специалисты по безопасности могут получить ошеломляющую информацию о глобальной поверхности атак.
Большинство из вас знают о возможностях nmap и скриптов nmap для разведки цели и целевых сетей. Эти инструменты можно использовать для решения множества задач, таких как простое сканирование портов служб и определение версий. Несмотря на мощь и простоту nmap , сканирование очень больших сетей может быть утомительно медленным. Именно здесь новаторский сканер Zmap демонстрирует свои сильные стороны.
Zmap был разработан в 2013 году группой исследователей из Мичиганского университета (Дэвид Адриан, Закир Дурумерик, Гульшан Сингх и Дж. Алекс Халдерман). Он был разработан для сканирования всего интернета в целях информационной безопасности, а не только одного IP-адреса или диапазона IP-адресов. При гигабитном соединении сканирование всего интернета по одному порту занимает около 45 минут! С помощью nmap такое же сканирование заняло бы месяцы.
Такая скорость открывает совершенно новые возможности сканирования, о которых мы раньше и не подозревали. Например, один из разработчиков Zmap смог оценить количество отключений электроэнергии во время урагана «Сэнди», просканировав все IP-адреса в зоне урагана, а затем экстраполировав эту информацию, где было электричество, а где — нет. Кроме того, этот инструмент можно использовать для определения того, когда и сколько систем по всему миру внедряют новые технологии. Возможности Zmap для оценки поверхности атак в глобальном интернете кажутся безграничными!
По сути, Zmap может предоставить нам картину поверхности интернет-атак практически в реальном времени. Именно это и пытается сделать такой сервис, как CenSys, используя Zmap для сбора данных.
Zmap достигает своей скорости благодаря использованию циклических мультипликативных групп . Это позволяет ZMap сканировать то же пространство примерно в 1300 раз быстрее, чем Nmap (nmap отправляет запросы и ожидает ответа перед отправкой следующего запроса). Программное обеспечение ZMap возводит каждое число от 1 до 2 в степень 32 (адресное пространство IPv4 составляет 32 бита) и создаёт итеративную формулу, которая гарантирует, что каждое из возможных 32-битных чисел будет просмотрено один раз в псевдослучайном порядке.
Эта скорость также может быть использована для эксплуатации уязвимостей. Например, при подключении к локальной сети относительно просто использовать всю доступную полосу пропускания и создать эффективную ситуацию отказа в обслуживании (DoS). Кроме того, хакеры-«черные хакеры» могут искать уязвимости по всему Интернету быстрее, чем администраторы успевают устанавливать исправления для своих систем.
Шаг №1: Запустите Kali и скачайте Zmap
Первый шаг — запустить Kali и открыть терминал.
Теперь нам нужно скачать и установить Zmap. Zmap есть в репозитории Kali, поэтому вам нужно только войти:
kali > sudo apt install zmap
Шаг №2: Справка Zmap
Прежде чем приступить к использованию этого мощного инструмента, давайте сначала заглянем в его файл справки.
кали > sudo zmap -h
В последней строфе экрана справки обратите внимание на примеры, приведённые выше. Также важно отметить, что Zmap по умолчанию использует сканирование TCP SYN и выводит результаты в формате ASCII на стандартный вывод (stdout) или в файл .csv, указанный с помощью опции -o.
Шаг №3: Запустите сканирование Zmap
Базовый синтаксис запуска Zmap прост:
zmap -p <порт> <IP-адрес> -o <выходной_файл>
Итак, чтобы просканировать 255 IP-адресов в сети класса B, мы можем ввести:
Кали > sudo zmap -p 80 172.217.0.0/24 -o IPresults.csv
Где:
-p 80 = сканировать на наличие открытого порта 80
172.217.0.0/24 = сканировать эти 255 IP-адресов
-o IPresults.csv = отправить результаты в CSV-файл с именем IPresults.csv
Когда мы нажимаем Enter, Zmap начинает сканировать это пространство IP-адресов и выводить результаты на экран (stdout).
Как видите, Zmap выполнил свою работу за считанные секунды, тогда как nmap, вероятно, потребовал бы несколько часов. Чтобы просмотреть вывод, введите:
кали > меньше IPresults.csv
Чтобы увидеть общее количество IP-адресов с открытым портом 80 в этом диапазоне IP-адресов, введите:
kali > wc -l IPresults.csv
Как видите, Zmap обнаружил, что у 162 IP-адресов из 255 порт 80 был открыт.
Шаг №4: Сканирование локальной сети
Теперь попробуем использовать Zmap для сканирования нашей локальной сети. Можно использовать ту же команду и параметры, что и выше, но вместо этого давайте используем локальный частный IP-адрес.
Кали > sudo zmap -p 80 10.0.2.15 -o LANresults.csv
Как вы можете видеть выше, Zmap отказывается сканировать нашу локальную сеть, поскольку по умолчанию Zmap заносит в черный список все частные IP-адреса.
Это можно исправить, просто открыв файл blacklist.conf в любом текстовом редакторе и закомментировав IP-адреса, которые нужно сканировать. Чёрный список Zmap находится по адресу /etc/zmap/blacklist.conf .
Кали > коврик для мыши sudo /etc/zmap/blacklist.conf
Закомментируйте (#) частный IP-адрес вашей сети (в моём случае я закомментировал строку 6). Теперь попробуем снова просканировать нашу локальную сеть.
Кали > sudo zmap -p 10.0.0.0/16 -o LANresults.csv
Будьте осторожны при использовании Zmap в локальной сети. Он может легко перегрузить вашу сеть и вызвать отказ в обслуживании (DoS). Рекомендуется ограничить пропускную способность, используемую Zmap, до 10 тысяч пакетов в секунду, чтобы избежать перегрузки сети. Для этого просто введите опцию ограничения пропускной способности -B, а затем 10M, например:
kali > sudo zmap -B 10M -p 80 10.0.0.0/16 -o LANresults.csv
Краткое содержание
Zmap — это уникальный инструмент для сбора информации о поверхности атак во всем Интернете или очень большой сети. Хотя он полезен для быстрого сканирования больших сетей, где сканирование с помощью nmap было бы трудоемким и утомительным, его истинное преимущество заключается в возможности собирать информацию с КАЖДОГО IP-адреса по всему миру. С помощью этого инструмента как киберпреступники, так и специалисты по безопасности могут получить ошеломляющую информацию о глобальной поверхности атак.
