En un escaneo de nmap -D , para escanear y devolver cualquier resultado, su dirección IP real debe usarse entre el conjunto de señuelos. Si no se usa su IP real, no podrá recibir ninguna respuesta de su servidor de destino y el escaneo de nmap no funcionará.
La opción -D crea confusión al introducir direcciones IP de señuelo. Por lo tanto, si el servidor de destino está registrando las conexiones entrantes, verá una variedad de direcciones IP falsificadas más su dirección IP real.
Si no tiene cuidado de asegurarse de que los señuelos estén activos (no hay respuesta después de SYN inicial en el puerto activo que devuelve SYN-ACK) o si su ISP filtra las direcciones IP falsas (solo su IP aparecerá en el registro del servidor), no sería difícil detectar la dirección IP real que realiza la exploración.
Aquí están las partes relevantes de la página de manual de nmap ,
-D decoy1 [ decoy2] [ ME] [ ...] (Cubra un escaneo con señuelos).
Hace que se realice un escaneo de señuelo, lo que le hace parecer al host remoto que los hosts que usted especifica como señuelos están escaneando el host red de destino también. Por lo tanto, su IDS podría reportar 5-10 exploraciones de puertos desde Direcciones IP únicas, pero no sabrán qué IP las escaneaba y que eran señuelos inocentes. Si bien esto puede ser derrotado a través de Rastreo de ruta del enrutador, caída de respuesta y otros mecanismos activos, Por lo general, es una técnica efectiva para ocultar su dirección IP ...
Tenga en cuenta que los hosts que usa como señuelos deberían estar activos o podría SYN inundar sus objetivos accidentalmente. También será bastante fácil determinar qué host está escaneando si solo uno está realmente arriba en el red ....
Los señuelos se usan tanto en el escaneo de ping inicial (usando ICMP, SYN, ACK, o lo que sea) como durante la fase de escaneo del puerto real. Señuelos También se utilizan durante la detección remota del sistema operativo (-O). Los señuelos no funcionan con Detección de versión o escaneo de conexión TCP ....
... Además, algunos ISP lo harán filtre sus paquetes falsificados, pero muchos no restringen la IP falsificada paquetes en absoluto.
Un enfoque es analizar el campo TTL en los paquetes.
Time to live es una función de IP para mitigar los bucles de enrutamiento. Cada paquete comienza con un cierto valor TTL, generalmente 64, y cada salto de enrutamiento reduce el TTL en uno. Si el TTL llega a cero, el paquete se descarta y se devuelve un mensaje ICMP "TTL caducado en tránsito". La utilidad traceroute utiliza el campo TTL. Primero envía un paquete con TTL = 1, luego TTL = 2 y así sucesivamente. Luego realiza un seguimiento de las respuestas de ICMP para determinar el seguimiento de la dirección IP de destino.
Para evaluar si un paquete en particular proviene de un señuelo, puede usar traceroute para medir la distancia de enrutamiento a esa dirección IP. Si agrega eso al TTL que recibió, obtiene el TTL inicial del paquete. Resulta que solo hay ciertos valores iniciales de TTL que normalmente producen las pilas de red. Si su TTL calculado es otra cosa, implica que el paquete realmente viajó por una ruta diferente, y es un señuelo. Esta técnica no es perfecta, porque las rutas pueden cambiar, y cualquier TTL inicial es técnicamente legal. Pero es una forma razonable y aproximada de detectar señuelos.
Por supuesto, solo puede hacer esto si está registrando los TTL recibidos, lo que no sucede de forma predeterminada. Puedes configurar iptables para hacer esto.
Lea otras preguntas en las etiquetas user-tracking nmap