¿El nmap se remonta a usted?

Se remonta a su IP. Sin embargo, esto no es prácticamente evitable.

Lo que técnicamente puede hacer es un "escaneo inactivo" con nmap. No voy a entrar demasiado en el tema técnico, pero se basa en el canal lateral de IP ID que se incrementa. Sin embargo, nunca he oído hablar de hackers que usen este método. enlace

Sin embargo, Internet se está escaneando tanto que no hay forma de que el administrador investigue cada escaneo de puertos.

En una red local, querrá ralentizarlo mucho para que no se detecte como un escaneo de puertos. Eso es lo que hizo phineas phisher cuando hackeó el hackteam. Incluso en la red local, hay muchos falsos positivos cuando se trata de detectar escaneos de puertos.

También es posible usar el IP spoofing o proxies para enmascarar su dirección IP ocultándola entre muchas otras direcciones IP. Además, se puede usar un proxy o VPN para escanear puertos. Esto ocultará completamente su dirección IP del objetivo. También puedes combinar los dos métodos.

Cuando está realizando un escaneo de sincronización TCP, incluso con la mitad de uno, tiene que revelar una de sus direcciones IP para poder obtener las respuestas.

Por lo tanto, la falsificación no ayudaría. Sin embargo, hay dos puntos a tener en cuenta aquí:

1. los escaneos de puertos no son ilegales en todas las jurisdicciones, por lo que saber cómo ser escaneados de puertos no es útil, excepto para modificar los firewalls.

2. la dirección IP se puede falsificar en una máquina bajo el control del atacante que no está asociada con el atacante. Esto, por cierto, hace que el escaneo del puerto sea aún más rápido.

Además, con el ruido de fondo de las exploraciones de puertos que es habitual en Internet (y con el uso de -T0), se necesitaría un registro de firewall bastante grande y mucha potencia de computación para rastrear algunas sincronizaciones aleatorias a un puerto de puertos real.

Dicho esto: sí, el nmap en modo normal es bastante ruidoso y es fácilmente detectable por los IDS.

Evitar la detección es un tema complicado y requiere una comprensión sólida de los conceptos de red subyacentes:

• La red ocurre en capas . Cada uno debe considerarse por separado para determinar qué información se está transfiriendo.
• Un sistema enviará respuestas a la dirección en el campo de dirección de origen. Si "falsifica" esto como algo más, las respuestas irán allí y usted no las verá.
• El anonimato no es siempre lo que quieres. El anonimato significa que usted no tiene nombre ni información de identificación. Pero esto puede hacerte destacar entre la multitud; El chico que entra en un banco con una máscara de esquí es anónimo, pero ciertamente no va a llegar muy lejos. En su lugar, desea pasar a pasar desapercibido , lo que requiere un conjunto diferente de comportamientos y técnicas.
• "Los cortafuegos modernos" no se pueden omitir. Puede haber reglas que permitan cierto tráfico, o puede haber vulnerabilidades en algún otro sistema que permita a un atacante girar en la red, pero en general, las técnicas de "bypass de firewall" en Nmap son vulnerabilidades de vulnerabilidades que se han corregido en cualquier Firewall por el cual la gente pagará dinero.
• Bloquear una IP es fácil y barato. Si su objetivo está dispuesto a bloquearlo, también estará dispuesto a bloquearlo a usted y a sus señuelos. Aparte de eso, existen técnicas para descubrir la fuente "real" de un escaneo de señuelo, por lo que no es infalible.

He escrito un análisis para detectar Nmap y evitar la detección en mi blog , pero le advierto que no lo vea como una lista de "haga esto y funcionará". Cada situación de escaneo es diferente, y realmente necesitas conocer la esencia de los conceptos de redes antes de comenzar a jugar con las opciones de Nmap.