I migliori strumenti di scansione IP per la gestione della rete | Linuxiano.it
Privacy Policy

I migliori strumenti di scansione IP per la gestione della rete

I migliori strumenti di scansione IP per la gestione della rete

Quando lavori in una grande organizzazione in cui sono collegate centinaia di reti può diventare complicata la gestione degli indirizzi IP nel foglio di calcolo. Quindi quando hai migliaia d’indirizzi IP usa i seguenti strumenti che ti aiutano a scansionare IP, porta, gestire IP e molto altro …

Angry IP Scanner

Uno dei famosi scanner IP con oltre 23 milioni di download consente di effettuare la scansione dell’indirizzo IP locale e di Internet.Angry IP scanner è un software open source che funziona su Windows, MAC e Linux.

download

strumenti-di-scansione-ip-per-la-gestione-della-rete

strumenti-di-scansione-ip-per-la-gestione-della-rete

Netdiscover

Netdiscover è uno strumento di individuazione degli indirizzi di rete sviluppato principalmente per le reti wireless senza server DHCP, sebbene funzioni anche su reti cablate. Invia richieste ARP e annusa le risposte.

Disponibile per tutte le distribuzioni basate su Ubuntu Linux/Mint e derivati.

Per installare aprite un terminale (CTRL+ALT+T) e copiate i seguenti comandi:

Terminale
  • sudo apt-get update
  • sudo apt-get install netdiscover

 

Per rimuovere aprite un terminale (CTRL+ALT+T) e copiate i seguenti comandi:

Terminale
  • sudo apt-get update
  • sudo apt-get –purge remove netdiscover

Per scansionare IP delle reti usate il seguente comando.

  • sudo netdiscover -r 192.168.1.168 -i wlp3s0

dovete identificare la rete con ifconfig

strumenti-di-scansione-ip-per-la-gestione-della-rete

Nmap

Nmap Network Scanning è la guida ufficiale di Nmap Security Scanner, un’utilità gratuita e open source utilizzata da milioni di persone per l’individuazione della rete, l’amministrazione e il controllo di sicurezza. Dalla spiegazione delle basi di scansione delle porte per i principianti ai dettagli dei metodi di crafting a basso livello utilizzati dagli hacker avanzati, questo libro dell’autore originale di Nmap si adatta a tutti i livelli di professionisti della sicurezza e delle reti. La guida di riferimento documenta ogni funzionalità e opzione Nmap, mentre il resto mostra come applicarli per risolvere rapidamente le attività del mondo reale. Esempi e diagrammi mostrano la comunicazione effettiva sul filo. Gli argomenti includono il sovvertimento dei firewall e dei sistemi di rilevamento delle intrusioni, l’ottimizzazione delle prestazioni di Nmap e l’automazione delle attività di rete comuni con Nmap Scripting Engine.

Per avere una guida dettagliata clicca QUI

 

Come utilizzare Nmap per cercare porte aperte sul VPS

introduzione

Il networking è un argomento espansivo e travolgente per molti amministratori di sistemi in erba. Ci sono vari livelli, protocolli e interfacce e molti strumenti e utilità che devono essere controllati per capirli.

Questa guida tratterà il concetto di “porte” e dimostrerà come il programma nmap può essere utilizzato per ottenere informazioni sullo stato delle porte di una macchina su una rete.

Nota: questo tutorial copre la sicurezza di IPv4. In Linux, la sicurezza IPv6 viene gestita separatamente da IPv4. Ad esempio, “nmap” esegue la scansione degli indirizzi IPv4 per impostazione predefinita, ma può anche eseguire la scansione degli indirizzi IPv6 se viene specificata l’opzione corretta (nmap -6).

Se il tuo VPS è configurato per IPv6, ricorda di proteggere entrambe le interfacce di rete IPv4 e IPv6 con gli strumenti appropriati. Per ulteriori informazioni sugli strumenti IPv6, consultare questa guida: Come configurare gli strumenti per utilizzare IPv6 su un VPS Linux.

Quali sono le porte?

Ci sono molti livelli nel modello di rete OSI . Lo strato di trasporto è lo strato principalmente interessato alla comunicazione tra diversi servizi e applicazioni.

Questo livello è il livello principale a cui sono associate le porte.

Terminologia portuale

È necessaria una certa conoscenza della terminologia per comprendere la configurazione della porta. Ecco alcuni termini che ti aiuteranno a capire la discussione che seguirà:

Porta: posizione di rete indirizzabile implementata all’interno del sistema operativo che aiuta a distinguere il traffico destinato a diverse applicazioni o servizi.

Internet Sockets: un descrittore di file che specifica un indirizzo IP e un numero di porta associato, nonché il protocollo di trasferimento che verrà utilizzato per gestire i dati.

Binding: il processo che si verifica quando un’applicazione o un servizio utilizza un socket internet per gestire i dati inseriti e in uscita.

Ascolto: si dice che un servizio è “in ascolto” su una porta quando è vincolante a una combinazione porta / protocollo / indirizzo IP per attendere le richieste dai client del servizio.

Dopo aver ricevuto una richiesta, stabilisce una connessione con il client (se appropriato) utilizzando la stessa porta in ascolto. Poiché i socket Internet utilizzati sono associati a uno specifico indirizzo IP del client, ciò non impedisce al server di ascoltare e servire le richieste ad altri client contemporaneamente.
Scansione delle porte : la scansione delle porte è il processo per tentare di connettersi a un numero di porte sequenziali allo scopo di acquisire informazioni su quali sono aperte e quali servizi e sistemi operativi sono dietro di esse.

Porte comuni

Le porte sono specificate da un numero compreso tra 1 e 65535.

Molte porte inferiori a 1024 sono associate a servizi che i sistemi operativi Linux e Unix considerano fondamentali per le funzioni di rete essenziali, pertanto è necessario disporre dei privilegi di root per assegnare loro i servizi.

Le porte tra 1024 e 49151 sono considerate “registrate”. Ciò significa che possono essere “riservati” (in un senso molto sciolto del termine) per determinati servizi inviando una richiesta allo IANA (Internet Assigned Numbers Authority). Non sono rigorosamente applicate, ma possono dare un indizio sui possibili servizi in esecuzione su una determinata porta.

Le porte tra 49152 e 65535 non possono essere registrate e sono suggerite per uso privato.

A causa del vasto numero di porte disponibili, non dovrai mai preoccuparti della maggior parte dei servizi che tendono a collegarsi a porte specifiche.

Tuttavia, ci sono alcune porte che vale la pena conoscere a causa della loro ubiquità.

Quanto segue è solo una lista molto incompleta:
  • 20 : dati FTP
  • 21 : porta di controllo FTP
  • 22 : SSH
  • 23 : Telnet <= non sicuro, non consigliato per la maggior parte degli usi
  • 25 : SMTP
  • 43 : protocollo WHOIS
  • 53 : servizi DNS
  • 67 : porta del server DHCP
  • 68 : porta client DHCP
  • 80 : traffico HTTP <= traffico web normale
  • 110 : porta di posta POP3
  • 113 : servizi di autenticazione di identità su reti IRC
  • 143 : porta di posta IMAP
  • 161 : SNMP
  • 194 : IRC
  • 389 : porta LDAP
  • 443 : HTTPS <= Traffico web sicuro
  • 587 : SMTP <= porta di invio messaggi
  • 631 : porta daemon di stampa CUPS
  • 666 : DOOM <= Questo gioco FPS legacy ha in realtà una propria porta speciale

Questi sono solo alcuni dei servizi comunemente associati alle porte. Dovresti essere in grado di trovare le porte appropriate per le applicazioni che stai tentando di configurare all’interno della rispettiva documentazione.

La maggior parte dei servizi può essere configurata per utilizzare porte diverse da quelle predefinite, ma è necessario assicurarsi che sia il client sia il server siano configurati per utilizzare una porta non standard.

Puoi ottenere un breve elenco di alcune porte comuni digitando:

Terminale
  • less /etc/services
Ti fornirà un elenco di porte comuni e i relativi servizi associati:

Vedremo nella sezione su nmap come ottenere una lista più completa.

Come controllare le tue porte aperte

Esistono numerosi strumenti che è possibile utilizzare per cercare porte aperte.

Uno che è installato di default sulla maggior parte delle distribuzioni Linux è netstat .

È possibile scoprire rapidamente quali servizi sono in esecuzione immettendo il comando con i seguenti parametri:

Terminale
  • sudo netstat -plunt

Mostra la porta e il socket di ascolto associati al servizio ed elenca i protocolli UDP e TCP.

Installa Nmap

Parte della protezione di una rete implica l’esecuzione di test di vulnerabilità. Ciò significa cercare di infiltrarsi nella tua rete e scoprire punti deboli nello stesso modo in cui un utente malintenzionato potrebbe.

Tra tutti gli strumenti disponibili per questo, nmap è forse il più comune e potente.

Puoi installare nmap su una macchina Ubuntu o Debian inserendo:

Terminale
  • sudo apt-get update
  • sudo apt-get install nmap

Uno dei vantaggi collaterali dell’installazione di questo software è un file di mappatura delle porte migliorato. Puoi vedere un’associazione molto più ampia tra porte e servizi cercando in questo file:

Terminale
  • less /usr/share/nmap/nmap-services

Oltre ad avere quasi 20 mila righe, questo file ha anche campi aggiuntivi, come la terza colonna, che elenca la frequenza aperta di quella porta come scoperta durante le scansioni di ricerca su Internet.

Come scansionare le porte con Nmap

Nmap può rivelare molte informazioni su un host. Può anche fare in modo che gli amministratori di sistema del sistema di destinazione pensino che qualcuno abbia intenzioni malevole. Per questo motivo, testalo solo sui server di tua proprietà o in situazioni in cui hai notificato i proprietari.

I creatori di nmap forniscono effettivamente un server di test situato in:

scanme.nmap.org

Questo, o le tue istanze VPS sono buoni obiettivi per praticare nmap.

Ecco alcune operazioni comuni che possono essere eseguite con nmap. Li eseguiremo tutti con privilegi sudo per evitare di restituire risultati parziali per alcune query. Alcuni comandi potrebbero richiedere molto tempo per essere completati:

Scansione per il sistema operativo host:
Terminale
  • sudo nmap -O host_remoto

Ignora la porzione di rilevamento della rete e presume che l’host sia online. Questo è utile se si ottiene una risposta che dice “Nota: l’host sembra inattivo” negli altri test. Aggiungi questo alle altre opzioni:

Terminale
  • sudo nmap -PN host_remoto
Specificare un intervallo con “-” o “/ 24” per eseguire la scansione di un numero di host contemporaneamente:
Terminale
  • sudo nmap -PN xxx.xxx.xxx.xxx-yyy
Scansione di un intervallo di rete per i servizi disponibili:
Terminale
  • sudo nmap -sP network_address_range
Scansione senza preformare una ricerca DNS inversa sull’indirizzo IP specificato. Ciò dovrebbe accelerare i risultati nella maggior parte dei casi:
Terminale
  • sudo nmap -n host_remoto
Scansione di una porta specifica anziché di tutte le porte comuni:
Terminale
  • sudo nmap -p numero_porta host_remoto
Per eseguire la scansione delle connessioni TCP, nmap può eseguire un handshake a 3 vie (spiegato di seguito), con la porta di destinazione. Esegui in questo modo:
Terminale
  • sudo nmap -sT host_remoto
Per cercare connessioni UDP, digitare:
Terminale
  • sudo nmap -sU remote_host
Scansione per ogni porta aperta TCP e UDP:
Terminale
  • sudo nmap -n -PN -sT -sU -p- remote_host

Una scansione “SYN” TCP sfrutta il modo in cui TCP stabilisce una connessione.

Per avviare una connessione TCP, la fine richiedente invia un pacchetto “richiesta sincronizzazione” al server. Il server invia quindi un pacchetto di “riconoscimento sincronizzato”. Il mittente originale quindi restituisce un pacchetto di “riconoscimento” al server e viene stabilita una connessione.

Una scansione “SYN”, tuttavia, interrompe la connessione quando il primo pacchetto viene restituito dal server. Questa è chiamata scansione “semiaperta” e utilizzata per essere promossa come un modo per cercare furtivamente le porte, poiché l’applicazione associata a quella porta non riceverebbe il traffico, perché la connessione non è mai completata.

Questo non è più considerato furtivo con l’adozione di firewall più avanzati e la segnalazione di richieste SYN incomplete in molte configurazioni.

Per eseguire una scansione SYN, eseguire:
Terminale
  • sudo nmap -sS host_remoto

Un approccio più furtivo sta inviando intestazioni TCP non valide, che, se l’host è conforme alle specifiche TCP, devono inviare un pacchetto indietro se tale porta viene chiusa. Funzionerà su server non basati su Windows.

Puoi usare i flag “-sF”, “-sX” o “-sN”. Tutti produrranno la risposta che stiamo cercando:

Terminale
  • sudo nmap -PN -p numero_porta -sN host_remoto

Esistono molte altre combinazioni di comandi che è possibile utilizzare, ma questo dovrebbe iniziare a esplorare le vulnerabilità di rete.

Conclusione

Comprendere la configurazione della porta e scoprire in che modo i vettori di attacco si trovano sul tuo server è solo un passaggio per proteggere le tue informazioni e il tuo VPS. È un’abilità essenziale, tuttavia.

Scoprendo quali porte sono aperte e quali informazioni possono essere ottenute dai servizi che accettano le connessioni su tali porte, si ottengono le informazioni necessarie per bloccare il server. Qualsiasi informazione estranea trapelata dal tuo computer può essere utilizzata da un utente malintenzionato per tentare di sfruttare vulnerabilità note o svilupparne di nuove. Meno riescono a capire, meglio è.