solicitud de conexión de paquete único a una velocidad extremadamente lenta

3

Había estado leyendo una publicación en el blog en trapx.com sobre cómo abordan el análisis de amenazas y se realizó la siguiente declaración; "los atacantes avanzados ya no realizan escaneos de red ruidosos. Si hacen escaneos de red, evitan la detección mediante el uso de solicitudes de conexión de paquetes individuales en puertos conocidos, a una velocidad extremadamente lenta".

¿Cómo se realiza una solicitud de conexión de un solo paquete a una velocidad extremadamente lenta? ¿Es posible hacer esto usando nmap? Si es así, ¿cómo se puede hacer?

    
pregunta HadidAli 13.03.2017 - 10:42
fuente

1 respuesta

5

Simplemente significa hacer algo como intentar un solo intento de conexión a un solo puerto con mucho tiempo entre.

Pero qué significa "lento" y cuánto tiempo no está definido. 1 / hr? ¿1 día? Depende de lo sigilosa que quiera ser la persona y de cuáles sean sus objetivos.

nmap tiene muchas opciones de configuración para hacer esto (lea el manual: enlace )

Por ejemplo: T0 envía un solo intento de conexión a un puerto a la vez con 5 minutos en el medio. Existen numerosas opciones de configuración más finas en las que puedes definir exactamente lo que quieres hacer.

Desafío la afirmación de que los hackers avanzados no realizan escaneos de red ruidosos. Realmente depende de la situación. No hay razón para ir lento en una IP pública. Las IP internas, una vez que estés dentro y re-enumerando, necesitarían esto, pero esto no es algo que solo los atacantes avanzados harían. Es solo una respuesta a la realidad de que se descubrirían escaneos ruidosos y también el atacante. Normalmente, el atacante escucha el tráfico o hace otras enumeraciones para tener una idea de qué servidores están disponibles y qué sirven.

    
respondido por el schroeder 13.03.2017 - 10:49
fuente

Lea otras preguntas en las etiquetas