¿Es posible identificar quién está detrás de un escaneo de nmap-D?

16

La opción -D de Nmap significa señuelo, lo que significa que el atacante puede simular que el ataque proviene de múltiples IP, incluida la IP del atacante.

Desde el punto de vista de la víctima, ¿es posible identificar la IP real y luego rastrear al atacante?

    
pregunta yzT 02.10.2014 - 08:39
fuente

2 respuestas

18

En un escaneo de nmap -D , para escanear y devolver cualquier resultado, su dirección IP real debe usarse entre el conjunto de señuelos. Si no se usa su IP real, no podrá recibir ninguna respuesta de su servidor de destino y el escaneo de nmap no funcionará.

La opción -D crea confusión al introducir direcciones IP de señuelo. Por lo tanto, si el servidor de destino está registrando las conexiones entrantes, verá una variedad de direcciones IP falsificadas más su dirección IP real.

Si no tiene cuidado de asegurarse de que los señuelos estén activos (no hay respuesta después de SYN inicial en el puerto activo que devuelve SYN-ACK) o si su ISP filtra las direcciones IP falsas (solo su IP aparecerá en el registro del servidor), no sería difícil detectar la dirección IP real que realiza la exploración.

Aquí están las partes relevantes de la página de manual de nmap ,

  

-D decoy1 [ decoy2] [ ME] [ ...] (Cubra un escaneo con señuelos).
  Hace que se realice un escaneo de señuelo, lo que le hace parecer al host remoto que los hosts que usted especifica como señuelos están escaneando el host   red de destino también. Por lo tanto, su IDS podría reportar 5-10 exploraciones de puertos desde   Direcciones IP únicas, pero no sabrán qué IP las escaneaba   y que eran señuelos inocentes. Si bien esto puede ser derrotado a través de   Rastreo de ruta del enrutador, caída de respuesta y otros mecanismos activos,   Por lo general, es una técnica efectiva para ocultar su dirección IP ...

     

Tenga en cuenta que los hosts que usa como señuelos deberían estar activos o podría SYN inundar sus objetivos accidentalmente. También será bastante fácil   determinar qué host está escaneando si solo uno está realmente arriba en el   red ....

     

Los señuelos se usan tanto en el escaneo de ping inicial (usando ICMP, SYN, ACK, o lo que sea) como durante la fase de escaneo del puerto real. Señuelos   También se utilizan durante la detección remota del sistema operativo (-O). Los señuelos no funcionan con   Detección de versión o escaneo de conexión TCP ....

     

... Además, algunos ISP lo harán   filtre sus paquetes falsificados, pero muchos no restringen la IP falsificada   paquetes en absoluto.

    
respondido por el Question Overflow 02.10.2014 - 09:46
fuente
14

Un enfoque es analizar el campo TTL en los paquetes.

Time to live es una función de IP para mitigar los bucles de enrutamiento. Cada paquete comienza con un cierto valor TTL, generalmente 64, y cada salto de enrutamiento reduce el TTL en uno. Si el TTL llega a cero, el paquete se descarta y se devuelve un mensaje ICMP "TTL caducado en tránsito". La utilidad traceroute utiliza el campo TTL. Primero envía un paquete con TTL = 1, luego TTL = 2 y así sucesivamente. Luego realiza un seguimiento de las respuestas de ICMP para determinar el seguimiento de la dirección IP de destino.

Para evaluar si un paquete en particular proviene de un señuelo, puede usar traceroute para medir la distancia de enrutamiento a esa dirección IP. Si agrega eso al TTL que recibió, obtiene el TTL inicial del paquete. Resulta que solo hay ciertos valores iniciales de TTL que normalmente producen las pilas de red. Si su TTL calculado es otra cosa, implica que el paquete realmente viajó por una ruta diferente, y es un señuelo. Esta técnica no es perfecta, porque las rutas pueden cambiar, y cualquier TTL inicial es técnicamente legal. Pero es una forma razonable y aproximada de detectar señuelos.

Por supuesto, solo puede hacer esto si está registrando los TTL recibidos, lo que no sucede de forma predeterminada. Puedes configurar iptables para hacer esto.

    
respondido por el paj28 02.10.2014 - 13:58
fuente

Lea otras preguntas en las etiquetas