¿qué herramientas de escaneo es poco probable que desactiven IDS de red?

Como con la mayoría de las cosas, no se trata de la herramienta, sino de cómo se usa.

Toma nmap por ejemplo.

Los principiantes de la herramienta o los niños de script pueden ejecutar el escaneo usando la opción predeterminada.

  

nmap 192.168.1.0/24

El comportamiento predeterminado para nmap sin especificar ningún indicador de adición sería realizar un análisis de sincronización, por lo que la consulta anterior sería igual a.

  

nmap -sS 192.168.1.0/24

Las exploraciones de Syn son razonablemente sigilosas. Sin embargo, la mayoría de los firewalls / IDS modernos deberían poder detectar paquetes syn, ya que es una técnica de escaneo muy común.

Los usuarios ligeramente mejores pero aún inexpertos pueden realizar incluso exploraciones de ruido utilizando nmap.

  

nmap -sV 192.168.1.0/24

     

nmap -A 192.168.1.0/24

Un escaneo de nmap activado con esos dos indicadores de escaneo es MUY ruidoso. Además de enviar una variedad de tipos de paquetes y capturar información de banner, nmap usará el motor de scripts de nmap para realizar tareas adicionales, como forzar la fuerza de la cadena de la comunidad SNMP, si corresponde. Tales exploraciones serán detectadas fácilmente.

Los usuarios más experimentados pueden realizar tipos de escaneo más sigilosos especificando ciertos indicadores. nmap es una herramienta muy poderosa ya que le permite establecer diferentes indicadores en un paquete TCP para evadir las reglas de firewall. ACK & Los FIN son dos técnicas muy utilizadas para evadir los cortafuegos.

También se pueden realizar otras técnicas avanzadas como la exploración inactiva utilizando nmap. Es un escáner de red muy versátil que puede ser muy silencioso en manos de un usuario avanzado.

Algunos consejos

No realice análisis de sincronización ni análisis de versión en subredes completas a menos que sea necesario. Es lento y ruidoso. En su lugar, use la opción de escaneo de ping para averiguar qué hosts están activos en una subred.

  

nmap -sn 192.168.1.0/24

Esta opción devolverá una lista de direcciones IP y MAC de host activas en la subred.

Una vez que haya obtenido una lista de hosts activos, analice de forma selectiva los hosts que considere interesantes. Por ejemplo, la dirección IP 192.168.1.1 me parece interesante, me gustaría saber más sobre ella. Realizar un análisis de sincronización.

  

nmap -sS 192.168.1.1

De forma predeterminada, nmap explora los mil o más puertos más populares según una lista compilada por el autor. Esto es suficiente para la mayoría de los propósitos. Sin embargo, puede haber algunos escenarios en los que es posible que desee especificar puertos específicos. Puedes hacerlo usando la bandera -p.

  

nmap -sS -p 80 192.168.1.0/24

Este escaneo enviaría paquetes syn a toda la subred, buscando direcciones IP activas con el puerto 80 abierto. Este es un análisis útil para determinar qué host puede tener un servidor HTTP activo.

  

nmap -sV 192.168.1.1

El indicador -sV especifica la opción de análisis de versión. Esta opción le indica a nmap que envíe una amplia variedad de paquetes a los hosts y que escanee los encabezados de los paquetes devueltos para verificar la versión exacta de un servicio que el host está ejecutando.

Esta es una versión muy potente pero ruidosa. Utilizar con precaución.

  

nmap -A 192.168.1.1

El indicador -A indica a nmap que use un escaneo agresivo. Este es un paso adelante del escaneo de la versión y utiliza el motor de scripts de nmap. Esto es muy ruidoso.

nmap es una herramienta muy poderosa. Si desea obtener más información, le sugiero que recoja el libro escrito por su autor.

Realmente diría que la mejor manera de evitar la detección de IDS es no usar escáneres. La mayoría de las herramientas de escaneo tienen firmas que pueden ser reconocidas por IDS, por lo que pueden incorporarse en sus bases de reglas. Algunos (como nmap) tienen opciones para ralentizar el escaneo o escanear de una manera más aleatoria para tratar de evitar la detección, pero si los viajes de IDS aquí dependerán de la configuración.

Hay dos tipos de tráfico que esperaría que pasen por alto IDS.

1. Tráfico legítimo: por ejemplo, conexiones a puertos 80/443 en un servidor web. Si está mirando una red externa, es poco probable que intentar conectarse manualmente a los sistemas en los puertos web haga tropezar a los IDS a menos que intente hacerlo muy rápidamente.
2. Tráfico basura no deseado: una vez más en redes externas, para evitar abrumarse con falsos positivos, el IDS puede ajustarse para descartar tipos de escaneo específicos (por ejemplo, escaneos para el puerto 445 / TCP). Si bien es probable que no tengan éxito, puede usar un escaneo para ese puerto para intentar establecer hosts en vivo en un rango y puede pasar por alto el IDS, ya que se tomará como uno de los escaneos habituales que todos los sistemas del Internet obtiene ..

Puede usar escáneres estándar, no intrusivos, como Nmap. Debe ajustarse de manera que sea lo suficientemente lento como para no activar alarmas. La información recopilada es:

• hosts activos
• versión del sistema operativo
• Servicios en ejecución (puertos)
• Banners / versiones de estos servicios

Además, puede realizar un análisis no invasivo de Nessus, de la forma en que no está intentando ejecutar exploits o vulnerabilidades, sino solo hacer pings, conectarse a puertos y revisar banners. Los elementos clave:

• Exploración lenta, tal vez de múltiples números de IP
• No intente iniciar sesión, solo lea el banner

En el escenario más sencillo, es descubrir su subred y luego visitar a través del navegador cada host. Tiene una alta eficiencia y causa poca alarma.

Puede usar nmap con tortunnel y proxychains. Pero escanear a través de tor es muy, muy lento.

Y recuerda crear una regla que elimine los paquetes de tu IP real para que no se revele tu dirección IP real.

(si está en linux iptables -A SALIDA --dest "target" -j DROP)