ビデオ: 【Microsoft Digital Trust Summit 2019】マイクロソフトだから実現できる生産性を犠牲にしないセキュリティ対策とクラウド ネイティブ ネットワーク 2024
ネットワークスキャンは、管理者が内部監査を行うための便利なツールです。ネットワーク攻撃にも役立ちます。ネットワークスキャンを使用すると、ネットワーク上のシステム、提供可能なサービス、およびITスタッフが数年前にネットワークから削除されたと考えられる既知の脆弱性またはシステムを識別することができます。
最も一般的な汎用ネットワークスキャナの1つは、WindowsベースのZenmapを使用したNmapまたはネットワークマップです。攻撃の観点からは、このツールは攻撃者の情報収集の大部分の一部です。システム、オペレーティングシステム、および実行中のサービスのリストで、彼女はあなたのネットワークの群れの最も弱いメンバーを選ぶことができます。
<! - 1 - >内部監査ツールとして、Zenmapを使用してネットワーク上の使用可能なIPアドレスを確認します。 Zenmapに数秒間のネットワークIDを提供することで、使用されているIPアドレス、MACアドレス、それらのシステムのDNS名、それらのシステムのオープンポート、見つかったホストのOSタイプ。
次のコードは、システムのZenmapまたはNmapスキャンから見ることができる情報の種類の例です。それは以下を発見した:
<! - 2 - >-
これはUbuntu Linuxコンピュータです。
-
このマシンはWindowsベースのコンピュータにファイルを共有します。
-
このマシンはウェブサイトを運営しています。
-
このマシンはVMware Serverを実行しています。
-
このホストは、リモートアクセス方式としてSSHとVNCをサポートしています。
-
このホストはメールサーバーとFTPサーバーを実行しています。
Nmapを起動する5. 21(http:// nmap。org)at 2011-04-15 02:01大西洋夏時間NSE:スキャンのために36のスクリプトを読み込みました。 02:01スキャンでARP Pingスキャンを開始192. 168. 1. 5 [1ポート] 02:01、0.30秒で完了したARP Pingスキャン(1台のホスト)1台のホストの並列DNS解決を開始します。 02:01で1ホストの並列DNS解決を完了しました。 02:01、0. 00秒経過時02:01スキャン時のSYNステルススキャンの開始192. 168. 1. 5 [1000ポート]検出されたオープンポート445 / tcp 192.168. 1. 5検出されたオープンポート111 / tcp on 192. 168. 1. 5 192. 168. 1. 5検出された開放ポート5900 / tcp 192. 168. 1. 5検出された開放ポート53 / tcp 192. 168. 1. 5発見された開放ポート21 / tcp 192. 168. 1. 5発見された192. 168. 1. 5開ポート22 / tcpの検出192. 168. 1. 5開ポート25 / tcpの検出192. 168. 1. 5開ポート443 / tcp 192の検出。 168. 1. 5開かれたポート139 / tcpが192に検出されました。168. 1. 5開かれたポート8222 / tcpが192に検出されました。168. 1. 5 192. 168. 1. 5検出されたオープンポート902 / tcp 192. 168. 1. 5検出されたオープンポート8009 / tcp 192. 168. 1. 5検出されたオープンポート8333 / tcp 192. 168. 1. 5検出されたオープンポート1984 / tcp on 1922. 168. 1. 5 192/168で開ポート2049 / tcpを検出しました。1. 5 05:01、1でSYNステルススキャンを完了しました。53秒経過(合計1000ポート)02:01 16時に16のサービスをスキャンします。168. 1. 5 02:03、116. 14秒にサービススキャンを完了しました(1ホストで16サービス)192.168.5.1から5:02:03でRPCGrindスキャンを開始しました。 (2ポート)192. 168. 1. 5 NSE:スクリプトスキャン192. 168. 1. 5. NSE:起動中のOS検出(試行#1)ランレベル1(of 1)スキャン。 02:03でNSEを開始02:03、25. 06でNSEを完了しました。NSE経過:スクリプトスキャンが完了しました。ホストが稼動しています(0,002待ち時間)。表示されていない:984閉鎖ポート状態サービスバージョン21 / tcp open ftp vsftpd 2. 2. 22 / tcp open ssh OpenSSH 5. 3p1 Debian 3ubuntu4(プロトコル2.0)| ssh-hostkey:1024 5b:6d:35:57:65:42:7f:8a:73:7e:00:e3:89:f9:15:bf(DSA)| _2048 4d:6e:be:c4:3b :0c:55:f5:46:dd:b8:05:05:1c:94:ea(RSA)25 / tcp open smtp Exim smtpd 4. 71 | smtp-commands:EHLO linuxこんにちはisc-l0065。ローカル[192。サポートされているコマンド:AUTH HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP 53 / tcp open tcpwrapped 80 / tcp open http Apache httpd 2. 2. 14((Ubuntu)) | _html-title:EdのWebページテストゾーン111 / tcp open rpcbind 2(rpc#100000)| rpcinfo:| 100000 2 111 / udp rpcbind | 100003 2、3、4 2049 / udp nfs | 100005 1、2、3 43439 / udp mountd | 100021 1、3、4 52866 / udp nlockmgr | 100024 1 57570 / udp status | 100000 2 111 / tcp rpcbind | 100003 2、3、4 2049 / tcp nfs | 100024 1 35177 / tcpの状態| 100005 1、2、3 41859 / tcp mountd | _100021 1、3、4 41980 / tcp nlockmgr 139 / tcp open netbios-ssn Samba smbd 3. X(ワークグループ:NET)443 / tcp open ssl / http Apache httpd 2. 2 (ワークグループ:NET)902 / tcp open ssl / vmware-auth VMware認証デーモン1. 10(NetBSD-ssn) VNC、SOAPを使用)1984 / tcp open bigbrother? 2049 / tcp open nfs 2-4(rpc#100003)5900 / tcp open vnc VNC(プロトコル3. 7)8009 / tcp open ajp13 Apache Jserv(プロトコルv1.3)8222 / tcp open http VMware Server 2 http config | _html VMware Server 2のMACアドレス:00:22:15:BA:93:1C(Asustek Computer)デバイスタイプ:汎用Running :Linux 2. 6. X OSの詳細:Linux 2. 6. 19 - 2. 6. 31稼働時間推測:11. 438日(Sun Apr 03 15:32:20以降)ネットワーク距離:1ホップTCPシーケンス予測:難易度= 203(幸運!)IP IDシーケンス生成:すべて0サービス情報:ホスト:linux; OS:Unix、Linuxホストスクリプトの結果:| nbstat:| NetBIOS名:LINUX、NetBIOSユーザー:NetBIOS MAC:|名前| LINUXフラグ:| LINUXフラグ:| LINUXフラグ:| x01x02__MSBROWSE__x02フラグ:| EDTETZ。NETフラグ:| EDTETZ。 NETフラグ:| _ EDTETZ。 NETフラグ:| _smbv2対応:サーバはSMBv2プロトコルをサポートしていません| smb-os-discovery:| OS:Unix(Samba 3. 4. 7)|名前:UnknownUnknown | _システム時刻:2011-04-15 01:59:48 UTC-3 HOP RTT ADDRESS 1 1. 41 ms 192. 168. 1. 5 C:Program FilesNmap OSおよびサービス検出の実行。間違った結果があれば、http:// nmapに報告してください。 org / submit / Nmap done:1 IPアドレス(1ホストアップ)が147でスキャンされました。66秒送信されたrawパケット:1021(45.684KB)| Rcvd:1016(41. 416KB)
この情報により、攻撃者は何を行うことができますか?このネットワークデバイスによって提供されるサービスのかなり完全なリストを攻撃者に提供し、ネットワーク上の方法を見つけたい場合、弱いと知られているサービスに対して提供されているこのサービスの一覧を調べることができます。これをメソッドまたはパスとして使用してシステムにアクセスします。
<!たとえば、攻撃者がTCPポート3389が使用可能であることを伝えるWindowsコンピュータが見つかった場合、リモートデスクトップ接続(mstsc.exe)を実行してそのコンピュータに接続し、 Administratorアカウントの一般的なパスワードを使用するか、Windows OSのいくつかのツールを実行したり、既知の弱点を悪用することができます。
