¿Cómo se puede usar la herramienta nmap para evadir un firewall / IDS?

4

Algunas técnicas se utilizan para proteger el sistema operativo contra ataques a la red, por ejemplo: firewalls, software antivirus, un IDS como SNORT , etc. Para aprovechar la herramienta nmap , ¿es posible engañar al sistema de detección de intrusos al evadir la detección?

    
pregunta GAD3R 29.04.2016 - 14:18
fuente

2 respuestas

8

Hay varias formas que son útiles con nmap para evadir las reglas básicas del firewall o del sistema de detección de intrusos.

1) Fragmentación de paquetes:

  • Esta opción evita la técnica de detección de coincidencia de patrones. Dado que el reensamblaje de paquetes puede ser bastante intensivo en el procesador, es común que el administrador lo deshabilite.

  • En snort, la funcionalidad de reensamblado de fragmentación está deshabilitada de forma predeterminada.

  • Uso: #nmap -f <other options>

2) Decoy Scan:

  • Podemos agregar algunos hosts aleatorios desde la subred del atacante o desde la subred de la víctima mientras escaneamos el objetivo.

  • En los registros de firewall, habrá varios hosts junto con la IP del atacante, lo que dificultará el rastreo del atacante.

  • Uso: #nmap -D <ip1, ip2,...,ME> <other options>

3) Dirección IP de origen falsificada:

  • El atacante puede falsificar la dirección IP de origen (de la subred de la víctima) para que se muestre a IDS / firewall que es un usuario legítimo y que se pasará.
  • Uso: #nmap -S <spoofed ip> <other optins>

4) Puerto de origen falso:

  • El atacante puede falsificar el puerto de origen no. mientras escanea el destino para omitir las reglas en el firewall que permiten solicitudes de pocos puertos (por ejemplo, Puerto 53).
  • Uso: #nmap --source-port <port no> <other options>

5) Tiempo de escaneo:

  • Hay varias opciones de tiempo incluidas en el nmap para enviar paquetes sucesivos. Se puede usar para evadir algunas de las reglas en los firewalls o IDS.

    T0: Paranoico (Espera 5 minutos entre cada envío de sondas, no detectado por IDS / IPS)

    T1: Sneaky (espera 15 segundos)

    T2: educado

    T3: Normal

    T4: Agresivo

    T5: Loco (fácilmente detectable)

    -Uso: #nmap -T<0-5> <other options>

Hay otras opciones como agregar datos y Badsum que también se pueden usar. IDLE Scan es lo mejor que sugeriré para evadir el firewall. Aunque, todos los métodos mencionados anteriormente pretenden evadir el firewall / IDS, pero si las reglas se establecen correctamente, su análisis aún puede ser detectado.

    
respondido por el Scissor 29.04.2016 - 15:53
fuente
2

Nmap tiene varias opciones útiles que pueden ayudarte a evadir un firewall / IDS. La efectividad de estas opciones dependerá de a qué se enfrente, es decir, del sistema (s) y cómo están configurados. Un firewall moderno y correctamente configurado obstaculizará sus exploraciones de manera muy efectiva.

Puede encontrar un buen desglose de las opciones de nmap que puede usar aquí . En general, está intentando cambiar el tráfico enviado por Nmap de una manera que hace que el firewall / IDS con el que está en peligro lo pierda.

Editar

Una nota sobre señuelos (como se solicita en el comentario a continuación). La opción Nmap -D le permite especificar una lista de direcciones IP de señuelo, por ejemplo (192.168.1.1 como destino):

nmap -D 192.168.1.2,192.168.1.3,192.168.1.4 192.168.1.1

También existe la posibilidad de generar algunas direcciones IP aleatorias como señuelos:

nmap -D RND:5 192.168.1.1

Tenga en cuenta que hay varias advertencias con el uso de -D; como el riesgo de que SYN inunde su objetivo, los ISP no reenvían paquetes falsificados y solo están disponibles mediante exploraciones de Nmap específicas. Espero que ayude!

    
respondido por el GreatSeaSpider 29.04.2016 - 15:03
fuente

Lea otras preguntas en las etiquetas