En un escaneo de nmap -D
, para escanear y devolver cualquier resultado, su dirección IP real debe usarse entre el conjunto de señuelos. Si no se usa su IP real, no podrá recibir ninguna respuesta de su servidor de destino y el escaneo de nmap no funcionará.
La opción -D
crea confusión al introducir direcciones IP de señuelo. Por lo tanto, si el servidor de destino está registrando las conexiones entrantes, verá una variedad de direcciones IP falsificadas más su dirección IP real.
Si no tiene cuidado de asegurarse de que los señuelos estén activos (no hay respuesta después de SYN inicial en el puerto activo que devuelve SYN-ACK) o si su ISP filtra las direcciones IP falsas (solo su IP aparecerá en el registro del servidor), no sería difícil detectar la dirección IP real que realiza la exploración.
Aquí están las partes relevantes de la página de manual de nmap
,
-D decoy1 [ decoy2] [ ME] [ ...] (Cubra un escaneo con señuelos).
Hace que se realice un escaneo de señuelo, lo que le hace parecer al host remoto que los hosts que usted especifica como señuelos están escaneando el host
red de destino también. Por lo tanto, su IDS podría reportar 5-10 exploraciones de puertos desde
Direcciones IP únicas, pero no sabrán qué IP las escaneaba
y que eran señuelos inocentes. Si bien esto puede ser derrotado a través de
Rastreo de ruta del enrutador, caída de respuesta y otros mecanismos activos,
Por lo general, es una técnica efectiva para ocultar su dirección IP ...
Tenga en cuenta que los hosts que usa como señuelos deberían estar activos o podría SYN inundar sus objetivos accidentalmente. También será bastante fácil
determinar qué host está escaneando si solo uno está realmente arriba en el
red ....
Los señuelos se usan tanto en el escaneo de ping inicial (usando ICMP, SYN, ACK, o lo que sea) como durante la fase de escaneo del puerto real. Señuelos
También se utilizan durante la detección remota del sistema operativo (-O). Los señuelos no funcionan con
Detección de versión o escaneo de conexión TCP ....
... Además, algunos ISP lo harán
filtre sus paquetes falsificados, pero muchos no restringen la IP falsificada
paquetes en absoluto.