¿Cómo hace nmap un escaneo de zombies y señuelos?

La idea básica de un Exploración de Zombie o Inactividad es enviar paquetes con fuente falsificada al objetivo, luego observar algunos cambio de estado en la pila TCP / IP de la máquina con la dirección de origen falsificada. El método original, descubierto en 1998 , utilizó el campo de ID de IP para observar el estado.

-sI Idle Scan de Nmap es una buena implementación que puede consultar al host Zombie / Idle para determinar su algoritmo para incrementar el campo de ID de IP; en algunos casos, se incrementa en 2 o en 256. Es responsabilidad del usuario elegir un host de Zombie adecuado. Al realizar una exploración con los indicadores -O (huella digital del sistema operativo) y -v (detallado), el usuario puede encontrar máquinas que tengan una secuencia de ID de IP incremental, y luego dirigirlas con Nping u otra herramienta de creación de paquetes para identificar aquellos que no están experimentando mucho tráfico. La parte "inactiva" de la exploración significa que el Zombie debe estar casi inactivo (sin comunicarse con otros hosts) para que la exploración funcione. Finalmente, la exploración se realiza mediante un comando como el que publicaste: nmap -Pn -sI zombieIP targetIP

La técnica es algo como esto:

1. Nmap sondea al Zombie para determinar su clase de secuencia de ID de IP y el valor actual que está utilizando.
2. Nmap luego envía los paquetes TCP SYN a varios puertos en el destino, pero falsifica la dirección de origen para que sea la del Zombie.
3. Durante el escaneo, Nmap prueba continuamente al Zombie para averiguar cuántos paquetes ha enviado. Esperando un paquete por sonda, si encuentra que se han enviado dos paquetes, puede asumir que el otro fue un paquete RST en respuesta al SYN / ACK del destino, lo que indica un puerto abierto.

En versión 6.45 , Nmap agregó la capacidad de hacer exploraciones inactivas sobre IPv6 . La técnica es similar, pero en su lugar utiliza el campo ID de fragmentación de IPv6. La técnica fue descubierta por Mathias Morbitzer , y estará disponible en la próxima versión de Nmap.

Los scoy scans son una técnica mucho menos interesante. Todos los paquetes se originan en su máquina de escaneo, pero algunos tienen direcciones de origen falsificadas. Las respuestas a estas fuentes falsificadas no llegarán a su escáner, por lo que no se pueden usar para determinar los estados de los puertos. Esta técnica solo sirve para confundir la detección de escaneo de puertos y no ofrece ninguna información más allá de un escaneo regular.

Las técnicas de escaneo se explican muy bien en el manual de nmap: Técnicas de escaneo de puertos

Es interesante ejecutar Wireshark mientras está ejecutando un escaneo de puertos; puede ver cómo se envían y reciben los paquetes exactos y aprender cómo funciona realmente.