User17
23.08.2025, 20:07
https://forum.antichat.xyz/attachments/4946361/img_fe5e362b36.pngВведение
Современные сети — это сложные организмы, где критически важные данные и скрытые угрозы движутся невидимыми потоками. Многие специалисты по ИБ недооценивают глубину сетевого уровня, останавливаясь на поверхностном анализе. Но истинная сила — в умении «видеть сквозь кабели»: точно знать, какие сервисы работают на каждом узле и что за данные они передают. Эту сверхспособность дают два проверенных временем инструмента: сканер Nmap и анализатор Wireshark.
Эта статья — практический гид по их использованию, который превратит непонятный шум в структурированную и понятную картину вашей сети.
Nmap примеры сканирования: Картографирование сети и поиск уязвимых сервисов
Nmap — это ваш швейцарский армейский нож для сканирования портов. Его задача — активно опросить сеть и составить точную карту всех хостов и сервисов.
Базовое сканирование: Быстрая инвентаризация
Код:
nmap -sS 192.168.1.0/24
*
-sS
: SYN-сканирование. Быстрое и малозаметное, показывает все открытые TCP-порты в сети.
* Что дает: Мгновенное понимание того, какие устройства есть в сети и какие основные сервисы (веб, SSH, базы данных) работают.
https://forum.antichat.xyz/attachments/4946361/img_87507c347e.png
Глубокий анализ: Кто ты и какой версии?
Код:
nmap -sV -sC 192.168.1.100
-sV
: Определение версий сервисов. Это ключ к поиску уязвимостей.
-sC
: Запуск безопасных NSE-скриптов для сбора дополнительной информации (например, проверка анонимного доступа на FTP).
Что дает: Вы не просто видите «порт 80 открыт». Вы видите «порт 80: nginx 1.18.0 (Ubuntu)». А скрипты могут сразу показать, что на FTP разрешен анонимный вход.
https://forum.antichat.xyz/attachments/4946361/img_3dff604c99.png
Поиск невидимок: Сканирование UDP-портов
Код:
nmap -sU --top-ports 50 192.168.1.100
-sU
: UDP-сканирование. Часто игнорируется, но именно на UDP-портах (DNS, SNMP, DHCP) часто находят утечки данных.
Что дает: Обнаружение сервисов, которые не отвечают на TCP-запросы. Статус open|filtered — это точка для дальнейшего расследования.
https://forum.antichat.xyz/attachments/4946361/img_c74c5c1468.png
Wireshark анализ трафика: Искусство видеть содержимое пакетов
Если Nmap составил карту, то Wireshark — это микроскоп, который позволяет рассмотреть каждое здание на этой карте в деталях. Это золотой стандарт для анализа сетевого трафика.
* Базовый прием: Мощь фильтров
Без фильтров вы утонете в море пакетов. Освойте их:
*
ip.addr == 192.168.1.100
— весь трафик узла.
*
tcp.port == 443
— весь трафик через HTTPS-порт.
*
http.request.method == "POST"
— только POST-запросы (часто с логинами/паролями).
*
dns
— только DNS-запросы.
https://forum.antichat.xyz/attachments/4946361/img_ef2eb5ffbf.png
Расследование инцидента: Поиск утечек в открытом тексте
Захватите трафик.
Примените фильтр http.
Найдите пакет с методом POST.
Кликните ПКМ -> Follow -> HTTP Stream.
Что дает: Вы увидите полный диалог браузера и сервера. Часто в нем в незашифрованном виде видны логины и пароли.
https://forum.antichat.xyz/attachments/4946361/img_e06f59e80d.png
Практический кейс: Обнаружение подозрительной локальной активности на Kali Linux
Задача: Вы — специалист по безопасности, проводящий плановый аудит собственной рабочей станции Kali Linux. Вам необходимо проверить, какие сетевые сервисы прослушивают порты, и проанализировать исходящий трафик на предмет аномалий, которые могут указывать на скрытую активность (например, бекдор или несанкционированное соединение).
Инструменты: Kali Linux (все предустановлено), netcat (утилита для создания сетевых соединений), curl.
Сценарий: Мы сами создадим подозрительную активность, чтобы имитировать работу скрытого сервиса, а затем обнаружим ее с помощью Nmap и Wireshark.
Шаг 1: Создаем «подозрительный» сервис на своем же компьютере
Откройте терминал и запустите простой TCP-сервер на нестандартном порту (например, 9999) с помощью netcat. Он будет ждать подключений и выводить всё, что ему пришлют.
Код:
nc -lvp 9999
-l — режим прослушивания (listen)
-v — подробный вывод (verbose)
-p 9999 — порт для прослушивания
https://forum.antichat.xyz/attachments/4946361/img_cc1e29301f.png
Шаг 2: Nmap-сканирование самого себя (localhost)
Откройте второе окно терминала. Здесь мы будем проводить сканирование портов нашей же машины.
Пример 1: Быстрая проверка, виден ли наш сервис
Код:
nmap -sS -p 9999 localhost
-sS: SYN-сканирование.
-p 9999: Проверить только порт 9999.
localhost: Сканируем сами себя.
Результат: Nmap должен показать, что порт 9999/tcp открыт.
Пример 2: Глубокое сканирование с определением сервисаТеперь попробуем узнать, что же это за сервис. Nmap попытается определить его по ответам.
Код:
nmap -sV -sC -p 9999 localhost
Результат: Скорее всего, Nmap не сможет точно определить сервис (так как это просто netcat) и пометит его как unknown или предп. Это уже само по себе подозрительно — на системе не должно быть неизвестных открытых портов.
https://forum.antichat.xyz/attachments/4946361/img_b5479c0c25.png
Шаг 3: Генерируем подозрительный трафик
Вернитесь в первое окно терминала, где работает netcat. Вы увидите, что к нему никто не подключился. Мы сами инициируем подключение.
Откройте третье окно терминала и с помощью curl отправим простой HTTP-запрос на наш же «подозрительный» сервис. Это сымитирует попытку передачи данных.
Код:
curl -X GET http://localhost:9999/secret_data.html
Эта команла отправит GET-запрос на наш сервер netcat на порту 9999.
Теперь посмотрите на первое окно терминала с netcat. Вы увидите там raw-данные HTTP-запроса, который вы только что отправили.
https://forum.antichat.xyz/attachments/4946361/img_edd83bef14.png
Шаг 4: Wireshark анализ трафика в реальном времени
Теперь самое интересное — перехватить и проанализировать этот трафик. Запустите Wireshark (нужны права суперпользователя):
Код:
sudo wireshark
В интерфейсе выберите сетевой интерфейс lo (loopback). Это виртуальный интерфейс для внутреннего трафика самой машины.
Начните захват трафика.
Перед тем как снова отправить запрос, установите фильтр: tcp.port == 9999. Это покажет только трафик, связанный с нашим подозрительным портом.
Снова выполните команду curl из третьего терминала:
Код:
curl -X GET http://localhost:9999/secret_data.html
Остановите захват в Wireshark.
Анализ в Wireshark:
Вы увидите TCP handshake (SYN, SYN-ACK, ACK) для установления соединения на порт 9999.
Далее вы увидите пакет PSH, ACK — это и есть наш HTTP-запрос, отправленный curl.
Ключевой момент: Щелкните правой кнопкой мыши на этом пакете и выберите Follow -> HTTP Stream.
https://forum.antichat.xyz/attachments/4946361/img_3c914133aa.png
Это доказывает, что даже локальный трафик можно перехватить и проанализировать. Если бы это был не тестовый запрос, а реальная команда от зловреда, мы бы увидели ее содержимое.
tcpdump vs Wireshark: Сила командной строки и красота GUI
Часто возникает вопрос: tcpdump vs Wireshark? Это не противостояние, а разделение труда.
tcpdump — это ваш полевой агент. Он легкий, есть практически на любом сервере, и им можно быстро захватить трафик в файл или применить простой фильтр.
Код:
tcpdump -i eth0 -w capture.pcap host 192.168.1.100 and port 80
Wireshark — это штаб-квартира с большими экранами. Вы загружаете в него файл, снятый tcpdump, и проводите глубокий, удобный визуальный анализ сетевого трафика с продвинутыми фильтрами.
Идеальный тандем: Захватить трафик на удаленном сервере с помощью tcpdump, скачать файл .pcap и детально изучить его в Wireshark на своей машине.
https://forum.antichat.xyz/attachments/4946361/img_b81366782b.png
Этика и безопасность
Работа с такой мощью обязывает к ответственности.
Сканируйте только те сети, которые вам принадлежат или на которые вы имеете письменное разрешение. Несанкционированное сканирование портов — это нарушение закона.
Все данные, полученные при анализе (особенно пароли и персональные данные), являются строго конфиденциальными. Уничтожайте дампы трафика после завершения анализа.
Практикуйтесь на своей тестовой лаборатории (виртуальные машины, стенды). Это единственный правильный и безопасный путь к экспертизе.
Заключение
Понимание сети — это не скучная теория, а практический навык, который можно и нужно прокачивать. Nmap и Wireshark — это ваши основные инструменты для того, чтобы перестать гадать и начать видеть. Они превращают невидимые биты и байты в ясную картину происходящего, позволяя находить уязвимости и аномалии до того, как это сделает злоумышленник. Начните с простых примеров сканирования, учитесь читать трафик — и вы откроете для себя новый уровень контроля над вашей ИБ-средой.
Современные сети — это сложные организмы, где критически важные данные и скрытые угрозы движутся невидимыми потоками. Многие специалисты по ИБ недооценивают глубину сетевого уровня, останавливаясь на поверхностном анализе. Но истинная сила — в умении «видеть сквозь кабели»: точно знать, какие сервисы работают на каждом узле и что за данные они передают. Эту сверхспособность дают два проверенных временем инструмента: сканер Nmap и анализатор Wireshark.
Эта статья — практический гид по их использованию, который превратит непонятный шум в структурированную и понятную картину вашей сети.
Nmap примеры сканирования: Картографирование сети и поиск уязвимых сервисов
Nmap — это ваш швейцарский армейский нож для сканирования портов. Его задача — активно опросить сеть и составить точную карту всех хостов и сервисов.
Базовое сканирование: Быстрая инвентаризация
Код:
nmap -sS 192.168.1.0/24
*
-sS
: SYN-сканирование. Быстрое и малозаметное, показывает все открытые TCP-порты в сети.
* Что дает: Мгновенное понимание того, какие устройства есть в сети и какие основные сервисы (веб, SSH, базы данных) работают.
https://forum.antichat.xyz/attachments/4946361/img_87507c347e.png
Глубокий анализ: Кто ты и какой версии?
Код:
nmap -sV -sC 192.168.1.100
-sV
: Определение версий сервисов. Это ключ к поиску уязвимостей.
-sC
: Запуск безопасных NSE-скриптов для сбора дополнительной информации (например, проверка анонимного доступа на FTP).
Что дает: Вы не просто видите «порт 80 открыт». Вы видите «порт 80: nginx 1.18.0 (Ubuntu)». А скрипты могут сразу показать, что на FTP разрешен анонимный вход.
https://forum.antichat.xyz/attachments/4946361/img_3dff604c99.png
Поиск невидимок: Сканирование UDP-портов
Код:
nmap -sU --top-ports 50 192.168.1.100
-sU
: UDP-сканирование. Часто игнорируется, но именно на UDP-портах (DNS, SNMP, DHCP) часто находят утечки данных.
Что дает: Обнаружение сервисов, которые не отвечают на TCP-запросы. Статус open|filtered — это точка для дальнейшего расследования.
https://forum.antichat.xyz/attachments/4946361/img_c74c5c1468.png
Wireshark анализ трафика: Искусство видеть содержимое пакетов
Если Nmap составил карту, то Wireshark — это микроскоп, который позволяет рассмотреть каждое здание на этой карте в деталях. Это золотой стандарт для анализа сетевого трафика.
* Базовый прием: Мощь фильтров
Без фильтров вы утонете в море пакетов. Освойте их:
*
ip.addr == 192.168.1.100
— весь трафик узла.
*
tcp.port == 443
— весь трафик через HTTPS-порт.
*
http.request.method == "POST"
— только POST-запросы (часто с логинами/паролями).
*
dns
— только DNS-запросы.
https://forum.antichat.xyz/attachments/4946361/img_ef2eb5ffbf.png
Расследование инцидента: Поиск утечек в открытом тексте
Захватите трафик.
Примените фильтр http.
Найдите пакет с методом POST.
Кликните ПКМ -> Follow -> HTTP Stream.
Что дает: Вы увидите полный диалог браузера и сервера. Часто в нем в незашифрованном виде видны логины и пароли.
https://forum.antichat.xyz/attachments/4946361/img_e06f59e80d.png
Практический кейс: Обнаружение подозрительной локальной активности на Kali Linux
Задача: Вы — специалист по безопасности, проводящий плановый аудит собственной рабочей станции Kali Linux. Вам необходимо проверить, какие сетевые сервисы прослушивают порты, и проанализировать исходящий трафик на предмет аномалий, которые могут указывать на скрытую активность (например, бекдор или несанкционированное соединение).
Инструменты: Kali Linux (все предустановлено), netcat (утилита для создания сетевых соединений), curl.
Сценарий: Мы сами создадим подозрительную активность, чтобы имитировать работу скрытого сервиса, а затем обнаружим ее с помощью Nmap и Wireshark.
Шаг 1: Создаем «подозрительный» сервис на своем же компьютере
Откройте терминал и запустите простой TCP-сервер на нестандартном порту (например, 9999) с помощью netcat. Он будет ждать подключений и выводить всё, что ему пришлют.
Код:
nc -lvp 9999
-l — режим прослушивания (listen)
-v — подробный вывод (verbose)
-p 9999 — порт для прослушивания
https://forum.antichat.xyz/attachments/4946361/img_cc1e29301f.png
Шаг 2: Nmap-сканирование самого себя (localhost)
Откройте второе окно терминала. Здесь мы будем проводить сканирование портов нашей же машины.
Пример 1: Быстрая проверка, виден ли наш сервис
Код:
nmap -sS -p 9999 localhost
-sS: SYN-сканирование.
-p 9999: Проверить только порт 9999.
localhost: Сканируем сами себя.
Результат: Nmap должен показать, что порт 9999/tcp открыт.
Пример 2: Глубокое сканирование с определением сервисаТеперь попробуем узнать, что же это за сервис. Nmap попытается определить его по ответам.
Код:
nmap -sV -sC -p 9999 localhost
Результат: Скорее всего, Nmap не сможет точно определить сервис (так как это просто netcat) и пометит его как unknown или предп. Это уже само по себе подозрительно — на системе не должно быть неизвестных открытых портов.
https://forum.antichat.xyz/attachments/4946361/img_b5479c0c25.png
Шаг 3: Генерируем подозрительный трафик
Вернитесь в первое окно терминала, где работает netcat. Вы увидите, что к нему никто не подключился. Мы сами инициируем подключение.
Откройте третье окно терминала и с помощью curl отправим простой HTTP-запрос на наш же «подозрительный» сервис. Это сымитирует попытку передачи данных.
Код:
curl -X GET http://localhost:9999/secret_data.html
Эта команла отправит GET-запрос на наш сервер netcat на порту 9999.
Теперь посмотрите на первое окно терминала с netcat. Вы увидите там raw-данные HTTP-запроса, который вы только что отправили.
https://forum.antichat.xyz/attachments/4946361/img_edd83bef14.png
Шаг 4: Wireshark анализ трафика в реальном времени
Теперь самое интересное — перехватить и проанализировать этот трафик. Запустите Wireshark (нужны права суперпользователя):
Код:
sudo wireshark
В интерфейсе выберите сетевой интерфейс lo (loopback). Это виртуальный интерфейс для внутреннего трафика самой машины.
Начните захват трафика.
Перед тем как снова отправить запрос, установите фильтр: tcp.port == 9999. Это покажет только трафик, связанный с нашим подозрительным портом.
Снова выполните команду curl из третьего терминала:
Код:
curl -X GET http://localhost:9999/secret_data.html
Остановите захват в Wireshark.
Анализ в Wireshark:
Вы увидите TCP handshake (SYN, SYN-ACK, ACK) для установления соединения на порт 9999.
Далее вы увидите пакет PSH, ACK — это и есть наш HTTP-запрос, отправленный curl.
Ключевой момент: Щелкните правой кнопкой мыши на этом пакете и выберите Follow -> HTTP Stream.
https://forum.antichat.xyz/attachments/4946361/img_3c914133aa.png
Это доказывает, что даже локальный трафик можно перехватить и проанализировать. Если бы это был не тестовый запрос, а реальная команда от зловреда, мы бы увидели ее содержимое.
tcpdump vs Wireshark: Сила командной строки и красота GUI
Часто возникает вопрос: tcpdump vs Wireshark? Это не противостояние, а разделение труда.
tcpdump — это ваш полевой агент. Он легкий, есть практически на любом сервере, и им можно быстро захватить трафик в файл или применить простой фильтр.
Код:
tcpdump -i eth0 -w capture.pcap host 192.168.1.100 and port 80
Wireshark — это штаб-квартира с большими экранами. Вы загружаете в него файл, снятый tcpdump, и проводите глубокий, удобный визуальный анализ сетевого трафика с продвинутыми фильтрами.
Идеальный тандем: Захватить трафик на удаленном сервере с помощью tcpdump, скачать файл .pcap и детально изучить его в Wireshark на своей машине.
https://forum.antichat.xyz/attachments/4946361/img_b81366782b.png
Этика и безопасность
Работа с такой мощью обязывает к ответственности.
Сканируйте только те сети, которые вам принадлежат или на которые вы имеете письменное разрешение. Несанкционированное сканирование портов — это нарушение закона.
Все данные, полученные при анализе (особенно пароли и персональные данные), являются строго конфиденциальными. Уничтожайте дампы трафика после завершения анализа.
Практикуйтесь на своей тестовой лаборатории (виртуальные машины, стенды). Это единственный правильный и безопасный путь к экспертизе.
Заключение
Понимание сети — это не скучная теория, а практический навык, который можно и нужно прокачивать. Nmap и Wireshark — это ваши основные инструменты для того, чтобы перестать гадать и начать видеть. Они превращают невидимые биты и байты в ясную картину происходящего, позволяя находить уязвимости и аномалии до того, как это сделает злоумышленник. Начните с простых примеров сканирования, учитесь читать трафик — и вы откроете для себя новый уровень контроля над вашей ИБ-средой.