¿Por qué el nmap es tan ruidoso con la opción “-A”?

5

Sólo una pregunta rápida. Ejecuto el servidor http y cuando lo escaneo con el clásico "nmap -T5 -O -v [IP]" no veo absolutamente nada en el registro. Pero cuando hago "-A" en lugar de "-O" veo muchas cosas que OBVIAMENTE provienen de la exploración de nmap. En el agente del usuario se encuentra el "motor de secuencias de comandos de Nmap" y existen algunas otras cosas. ¿Por qué al menos no intenta esconderse?

Es obvio que hacer "-A" va a ser ruidoso, pero podría ser al menos un poco menos ruidoso. Además, ¿cómo cambio esos valores predeterminados? Gracias

    
pregunta ShinobiUltra 28.03.2017 - 19:32
fuente

3 respuestas

5

La decisión de tratar de evitar la detección de forma predeterminada o de proporcionar firmas de tráfico únicas es difícil. A largo plazo, se convierte en una carrera de armamentos, donde el atacante siempre debe mantenerse al día con el defensor o la detección de riesgos. Históricamente, Nmap ha ofrecido medios para evadir tipos específicos de detección, pero no los ha activado de manera predeterminada: fragmentación de paquetes, suplantación de puertos de origen, limitación de la conexión, exploración de zombis inactivos, etc. La capacidad está ahí, pero la predeterminada es honesta sobre lo que estamos intentando hacer.

Los scripts NSE tienen capacidades similares: puede ralentizarlos con --max-parallelism y las opciones relacionadas. Puede cambiar la cadena de agente de usuario con http.useragent . Puedes enviar tu tráfico a través de un proxy con --proxies . Pero por defecto, Nmap es muy honesto acerca de ser Nmap.

El problema es que si cualquiera de estos comportamientos se convirtiera en el predeterminado, dejarían de ser sigilosos. Cuando se escribió Nmap por primera vez, su modo de escaneo TCP predeterminado, el escaneo SYN medio abierto, era la cosa más sigilosa, ya que el protocolo de enlace TCP nunca se había completado, por lo que no había nada en los registros de la aplicación del servidor sobre una conexión cerrada. Pero a medida que este modo de escaneo se hizo mucho más popular, la capacidad de IDS de la red pronto se expandió para atraparlo, ya que el comportamiento de "SYN, SYN-ACK, RST" es muy inusual y notable. Pero Nmap no cambió su valor predeterminado simplemente para evitar IDS. En su lugar, mantuvo el método confiable que tuvo el menor impacto en los sistemas ignorantes; es posible que se sorprenda al saber cuántos demonios se bloquearán si simplemente se conecta y cuelga ( -sT ).

He escrito un análisis más exhaustivo de los valores predeterminados de Nmap, cómo se pueden detectar y cómo cambiarlos para evitar la detección. Está en mi blog en un artículo de dos partes llamado "Ellos me ven scannin '". Tengo la sensación de que lo encontraría interesante.

    
respondido por el bonsaiviking 28.03.2017 - 20:45
fuente
2

Esta opción habilita algunos mecanismos que pueden volverse ruidosos.

  

-A: Habilita la detección del sistema operativo, la detección de versiones, el escaneo de scripts y el traceroute

La detección de versión establece una conexión a cada puerto abierto y obtiene el banner para determinar qué demonio se está ejecutando en ese puerto y en qué versión.

La exploración de secuencias de comandos permite el uso de secuencias de comandos nse que pueden ser muy ruidosas. Los scripts que se utilizan dependen de la información previa sobre los puertos y servicios abiertos. Por ejemplo, en una LAN con estaciones de trabajo con Windows, lo más probable es que desencadene una serie de scripts relacionados con SMB que intentarán usar sesiones NULL en parte, por ejemplo.

    
respondido por el davidb 28.03.2017 - 19:44
fuente
2

Nmap puede utilizar una multitud de formas diferentes de escanear un objetivo. bonsaiviking ha explicado bien por qué nmap es ruidoso con la opción -A.

Tu capacidad de permanecer en el sigilo es usar un escaneo de nmap no predeterminado: mi recomendación es escribir tu propia línea de comandos de nmap y llamarla con un alias.

Tipo de escaneo : predeterminado -sS. Puede usar -sT, -sU, -sF, -sN, sX, o escribir su propio tipo de escaneo con

--scanflags

Tiempo : use configuraciones de tiempo únicas y no agresivas. En lugar de depender de preset (T0, T1, T2, T3, T4, T5). Establece tus propias opciones de tiempo:

--max-rtt-timeout *****
--max-parallelism *****
--min-hostgroup *****
etc...

Modificar encabezado predeterminado :

-f (fragment packets); --mtu (using the specified MTU)
The -f option causes the requested scan (including ping scans) to use tiny fragmented IP packets.
The idea is to split up the TCP header over several packets to make it harder for packet filters, intrusion detection systems, and other annoyances to detect what you are doing. Be careful with this! Some programs have trouble handling these tiny packets.

--data-length <number> (Append random data to send packets)
Normally Nmap sends minimalist packets containing only a header. So its TCP packets are generally 40 bytes and ICMP echo requests are just 28. This option tells Nmap to append the given number of random bytes to most of the packets it sends.
OS detection ( -0) packets are not affected because accuracy there requires probe consistency, but most pinging and portscan packets support this.
It slows things down a little, but can make a scan slightly less conspicuous.

--ttl <value> (Set IP time-to-live field)
Sets the IPv4 time-to-live field in sent packets to the given value.
*From the book Nmap Network Scanning, Gordon “Fyodor” Lyon*

Para ser considerado : (no relacionado con la pregunta)

  • La huella digital activa puede siempre ser detectada. Huellas digitales pasivas favoritas si es posible .

  • Es posible que desee ser sigiloso o aceptar ser ruidoso si utiliza técnicas de suplantación de identidad.

respondido por el Florian Bidabe 11.04.2017 - 01:14
fuente

Lea otras preguntas en las etiquetas