L'idea di base di una scansione Zombi o inattivi è quella di inviare pacchetti oggetto di spoofing all'origine, quindi osservare alcuni modifica dello stato nello stack TCP / IP della macchina con l'indirizzo di origine falsificato. Il metodo originale, scoperto nel 1998 , utilizzava Campo ID IP per osservare lo stato.
La -sI
Scansione inattiva di Nmap è una buona implementazione che è in grado di interrogare l'host Zombie / Idle per determinarne la sua algoritmo per l'incremento del campo ID IP; in alcuni casi, aumenta di 2 o di 256. Spetta all'utente scegliere un host Zombie appropriato. Eseguendo una scansione con i flag -O
(fingerprinting SO) e -v
(verbose), l'utente può trovare macchine che hanno una sequenza ID IP incrementale, quindi indirizzarle con Nping o un altro strumento di elaborazione dei pacchetti per identificare quelli che non stanno vivendo molto traffico. La parte "Idle" della scansione indica che lo Zombie deve essere in gran parte inattivo (non in comunicazione con altri host) affinché la scansione funzioni. Infine, la scansione viene eseguita utilizzando un comando come te pubblicato: nmap -Pn -sI zombieIP targetIP
La tecnica è simile a questa:
- Nmap sonda lo Zombie per determinare la sua classe di sequenza ID IP e il valore corrente che sta usando.
- Nmap invia quindi pacchetti TCP SYN a varie porte sulla destinazione, ma falsifica l'indirizzo di origine come quello di Zombie.
- Durante la scansione, Nmap ricerca continuamente lo zombi per scoprire quanti pacchetti ha inviato. Aspettando un pacchetto per sonda, se trova che sono stati inviati due pacchetti, può presumere che l'altro fosse un pacchetto RST in risposta al SYN / ACK della destinazione, indicando una porta aperta.
In versione 6.45 , Nmap ha aggiunto la possibilità di fare Inattivo esegue la scansione su IPv6 . La tecnica è simile, ma utilizza invece il campo ID frammentazione IPv6. La tecnica è stata scoperta da Mathias Morbitzer , e sarà disponibile nella prossima versione di Nmap.
Le scansioni delle esche sono una tecnica molto meno interessante. Tutti i pacchetti provengono dalla tua macchina di scansione, ma alcuni hanno indirizzi di origine falsificati. Qualsiasi risposta a queste fonti di spoofing non arriverà allo scanner, quindi non possono essere utilizzate per determinare gli stati della porta. Questa tecnica serve solo a confondere il rilevamento della scansione delle porte e non offre alcuna informazione oltre una normale scansione.