L'opzione -D di Nmap sta per esca, il che significa che l'attaccante può simulare che l'attacco proviene da più IP, incluso l'IP dell'attaccante.
Dal punto di vista della vittima, è possibile identificare l'IP reale e quindi risalire all'attaccante?
In una scansione nmap -D , affinché la scansione restituisca qualsiasi risultato, il tuo vero indirizzo IP deve essere usato tra i pool di richiami. Senza il tuo reale IP usato, non sarai in grado di ricevere alcuna risposta dal tuo server di destinazione, e la scansione di nmap non funzionerebbe.
L'opzione -D crea confusione introducendo gli indirizzi IP di decoy. Quindi, se il server di destinazione sta registrando le connessioni in entrata, vedrà un assortimento di indirizzi IP falsificati più il tuo vero indirizzo IP.
Se non si presta attenzione a garantire che i richiami siano attivi (nessuna risposta dopo il SYN iniziale sulla porta attiva che restituisce SYN-ACK) o se il filtro ISP ha falsificato gli indirizzi IP (solo l'IP apparirà sul registro del server), non sarebbe difficile individuare l'effettivo indirizzo IP facendo la scansione.
Ecco le parti pertinenti dalla pagina man di nmap ,
-D decoy1[,decoy2][,ME][,...] (Cloak a scan with decoys) .
Causes a decoy scan to be performed, which makes it appear to the remote host that the host(s) you specify as decoys are scanning the target network too. Thus their IDS might report 5-10 port scans from unique IP addresses, but they won't know which IP was scanning them and which were innocent decoys. While this can be defeated through router path tracing, response-dropping, and other active mechanisms, it is generally an effective technique for hiding your IP address....Note that the hosts you use as decoys should be up or you might accidentally SYN flood your targets. Also it will be pretty easy to determine which host is scanning if only one is actually up on the network....
Decoys are used both in the initial ping scan (using ICMP, SYN, ACK, or whatever) and during the actual port scanning phase. Decoys are also used during remote OS detection (-O). Decoys do not work with version detection or TCP connect scan....
... Also, some ISPs will filter out your spoofed packets, but many do not restrict spoofed IP packets at all.
Un approccio consiste nell'analizzare il campo TTL sui pacchetti.
Il tempo di vivere è una funzionalità IP per mitigare i loop di routing. Ogni pacchetto inizia con un certo valore TTL, solitamente 64, e ciascun hop di routing riduce il TTL di uno. Se il TTL arriva a zero, il pacchetto viene eliminato e viene restituito un messaggio "TTL scaduto in transito" ICMP. L'utilità traceroute utilizza il campo TTL. Invia prima un pacchetto con TTL = 1 quindi TTL = 2 e così via. Quindi tiene traccia delle risposte ICMP per determinare la traccia sull'indirizzo IP di destinazione.
Per valutare se un particolare pacchetto proviene da un'esca, puoi usare traceroute per misurare la distanza di routing verso quell'indirizzo IP. Se lo aggiungi al TTL ricevuto, ottieni il TTL iniziale del pacchetto. Risulta che ci sono solo determinati valori TTL iniziali che gli stack di rete normalmente producono. Se il TTL calcolato è un'altra cosa, implica che il pacchetto abbia effettivamente percorso una rotta diversa, ed è un'esca. Questa tecnica non è perfetta, perché i percorsi possono cambiare e qualsiasi TTL iniziale è tecnicamente legale. Ma è un modo ragionevole e approssimativo per rilevare gli esagoni.
Ovviamente, puoi farlo solo se stai loggando i TTL ricevuti, cosa che non succede di default. Puoi configurare iptables per farlo.
Leggi altre domande sui tag user-tracking nmap