Аналіз використання трафіку при скануванні комп`ютерних мереж різними версіями Nmap

Abstract

На сьогодні існує велика кількість інструментів для моніторингу та діагностики мережі, які можуть використовуватись з різними цілями, як уповноваженими на це особами, так і іншими особами, що можуть здійснювати несанкціонований доступ до мережі. Одним з них є мережевий сканер Nmap. Мережевий сканер Nmap — це досить потужний додаток мережевого сканування з відкритим поточним кодом. Наразі він є майже незамінним інструментом для діагностики роботи мереж, виявлення помилкових мережевих конфігурацій, а також допомагає під час пошуку вразливостей всередині мережі. Мережевий сканер Nmap постійно вдосконалюється його авторами та незалежними розробниками. Тому з плином часу цей додаток розширює свій функціонал та поліпшує вже існуючі інструменти. Однак це суттєво впливає на його поведінку в мережі.

Для виявлення сканувальної активності у мережі зазвичай використовуються сніфери, які фіксують пакети, що через них проходять. На сьогодні за їхньою допомогою та допоміжного програмного забезпечення для виявлення вторгнень можливо виконувати ідентифікацію хостів, які здійснюють сканування. Однак залишаються актуальними задачі ідентифікації програмного забезпечення, що сканує мережу, та його версій. У статті розглядається розв`язання задачі на прикладі мережевого сканера Nmap.

Розглянуто використання трафіку різними версіями мережевого сканера Nmap під час виконання різних фаз сканування. Відмінності у роботі програми виникають в результаті оновлення поточного коду цього додатку та його скриптів сканування. У більшості випадків код у межах однієї мажоритарної версії не зазнає суттєвих змін. Однак навіть незначні зміни можуть вплинути на процес ідентифікації програмного забезпечення в процесі аналізу мережевого трафіку. Проаналізовано роботу таких версій Nmap: 7.01, 7.60, 7.80.

На сегодня существует большое количество инструментов для мониторинга и диагностики сети, которые могут использоваться с различными целями, как уполномоченными на это лицами, так и другими лицами, которые могут осуществлять несанкционированный доступ к сети. Одним из них является сетевой сканер Nmap. Сетевой сканер Nmap — это достаточно мощное приложение сетевого сканирования с открытым исходным кодом. На сегодня он является почти незаменимым инструментом для диагностики работы сетей и выявления ошибочных сетевых конфигураций, а также помогает при поиске уязвимостей внутри сети. Сетевой сканер Nmap постоянно совершенствуется его авторами и независимыми разработчиками. Поэтому с течением времени это приложение расширяет свой функционал и улучшает уже существующие инструменты. Однако это существенно влияет на его поведение в сети. Для выявления сканирующей активности в сети обычно используются сниферы, которые фиксируют пакеты, проходящие через них. На сегодня с их помощью и вспомогательного программного обеспечения для обнаружения вторжений можно выполнять идентификацию хостов, которые осуществляют сканирование. Однако остаются актуальными задачи идентификации программного обеспечения, сканирующего сеть, и его версий. В статье рассматривается решение задачи на примере сетевого сканера Nmap. Рассмотрено использование трафика различными версиями сетевого сканера Nmap при выполнении различных фаз сканирования. Различия в работе программы возникают в результате обновления текущего кода этого приложения и его скриптов сканирования. В большинстве случаев код в пределах одной мажоритарной версии не претерпит существенных изменений. Однако даже незначительные изменения могут повлиять на процесс идентификации программного обеспечения при анализе сетевого трафика. Проанализирована работа таких версий Nmap: 7.01, 7.60, 7.80.

Currently, there are a large number of tools for network monitoring and diagnostics which can be used for various purposes, both authorized persons and other persons who may have unauthorized access to the network. One of them is the Nmap network scanner. The Nmap is a powerful open source network scanning application. Currently it is almost indispensable tool for diagnosing network operation, detecting fault network configurations, and also helps in finding vulnerabilities within the network. The Nmap network scanner is being improved by its author and independent developers. Nowadays the team of this application expands its functionality and improves existing tools that significantly affects its network behavior. Sniffers are usually used to detect scanning activity on the network, which captures packets passing through them. At this time, they and the intrusion detection software can be used to identify the hosts that perform the scan. However, the task of identifying the software that scans the network and its versions remain relevant. The article considers the solution of the task on the example of the network scanner Nmap. The use of traffic by different versions of the Nmap during different scanning phases is considered. Differences in the operation of the program arise as a result of updating the current code of this application and its scanning scripts. In most cases, the code does not change significantly within one majority version. However, even minor changes can affect the software identification process when analyzing network traffic. The work of the following versions of Nmap is analyzed: 7.01, 7.60, 7.80.