Perché nmap è così rumoroso con l'opzione "-A"?

Naviga le tue risposte
5

Solo una breve domanda. Eseguo server http e quando lo scannerizzo con il classico "nmap -T5 -O -v [IP]" non vedo assolutamente nulla nel registro. Ma quando faccio "-A" invece di "-O" vedo un sacco di cose che sono OBVELOSAMENTE provenienti dalla scansione nmap. Nell'agent user è "Nmap Scripting Engine" e poche altre cose ci sono. Perché non provi almeno a nascondersi?

È ovvio che fare "-A" sarà rumoroso, ma potrebbe essere almeno un po 'meno rumoroso. Inoltre, come posso cambiare quei valori di default? Grazie

    
posta ShinobiUltra 28.03.2017 - 19:32
fonte

3 risposte

4

La decisione di provare a evitare il rilevamento di default o di fornire firme di traffico univoche è complicata. A lungo termine, diventa una corsa agli armamenti, in cui l'attaccante deve sempre tenere il passo con il difensore o il rilevamento dei rischi. Storicamente, Nmap ha offerto strumenti per eludere specifici tipi di rilevamento, ma non li ha attivati di default: frammentazione dei pacchetti, spoofing delle porte di origine, limitazione delle connessioni, scansione Idle / zombi, ecc. La capacità è lì, ma il default è essere onesti su ciò che stiamo tentando di fare.

Gli script NSE hanno capacità simili: puoi rallentarli con --max-parallelism e opzioni correlate. Puoi modificare la stringa dell'agente utente con http.useragent . Puoi inviare il tuo traffico tramite un proxy con --proxies . Ma per impostazione predefinita, Nmap è molto onesto sull'essere Nmap.

Il guaio è che se qualcuno di questi comportamenti fosse reso predefinito, cesserebbe di essere furtivo. Quando Nmap è stato scritto per la prima volta, la sua modalità di scansione TCP predefinita, scansione SYN semiaperta, era la cosa più rozza intorno, perché l'handshake TCP non era mai terminato, quindi non c'era nulla nei registri delle applicazioni del server su una connessione chiusa. Ma poiché questa modalità di scansione è diventata molto più popolare, la capacità di IDS della rete si è presto ampliata fino a catturarla, poiché il comportamento di "SYN, SYN-ACK, RST" è così insolito e notevole. Ma Nmap non ha cambiato il suo valore predefinito semplicemente per evitare IDS. Invece, ha mantenuto il metodo affidabile che ha avuto il minimo impatto sui sistemi ignoranti: potresti essere sorpreso di sapere quanti demoni si bloccheranno se ti connetti e riagganci semplicemente ( -sT ).

Ho scritto un'analisi più approfondita delle impostazioni predefinite di Nmap, del modo in cui possono essere rilevate e di come cambiarle per evitare il rilevamento. È sul mio blog in un articolo in due parti chiamato "Mi vedono scannin '". Ho la sensazione che lo troviate interessante.

    
risposta data 28.03.2017 - 20:45
fonte
2

Questa opzione abilita alcuni meccanismi che possono diventare rumorosi.

-A: Enable OS detection, version detection, script scanning, and traceroute

Il rilevamento della versione stabilisce una connessione ad ogni porta aperta e recupera il banner per determinare quale daemon è in esecuzione su quella porta e in quale versione.

La scansione degli script consente l'uso di script nse che possono essere molto rumorosi. Quali script vengono utilizzati dipende dalle informazioni precedenti relative alle porte e ai servizi aperti. Ad esempio, in una LAN con workstation Windows è molto probabile che venga attivato un numero di script SMB che tenteranno in parte di utilizzare NULL Sessions, ad esempio.

    
risposta data 28.03.2017 - 19:44
fonte
2

Nmap può usare una moltitudine di modi diversi per scansionare un bersaglio. bonsaiviking ha ben spiegato perché nmap è rumoroso con l'opzione -A.

La tua capacità di rimanere invisibile è usare una scansione nmap non predefinita: il mio consiglio è di scrivere la tua linea di comando nmap e chiamarla con un alias.

Tipo di scansione : predefinito -sS. Puoi usare -sT, -sU, -sF, -sN, sX o scrivi il tuo tipo di scansione con

--scanflags

Tempo : utilizza impostazioni di temporizzazione non aggressive e univoche. Piuttosto che fare affidamento su preset (T0, T1, T2, T3, T4, T5). Imposta le tue opzioni temporali: 

--max-rtt-timeout *****
--max-parallelism *****
--min-hostgroup *****
etc...

Modifica intestazione predefinita : 

-f (fragment packets); --mtu (using the specified MTU)
The -f option causes the requested scan (including ping scans) to use tiny fragmented IP packets.
The idea is to split up the TCP header over several packets to make it harder for packet filters, intrusion detection systems, and other annoyances to detect what you are doing. Be careful with this! Some programs have trouble handling these tiny packets.

--data-length <number> (Append random data to send packets)
Normally Nmap sends minimalist packets containing only a header. So its TCP packets are generally 40 bytes and ICMP echo requests are just 28. This option tells Nmap to append the given number of random bytes to most of the packets it sends.
OS detection ( -0) packets are not affected because accuracy there requires probe consistency, but most pinging and portscan packets support this.
It slows things down a little, but can make a scan slightly less conspicuous.

--ttl <value> (Set IP time-to-live field)
Sets the IPv4 time-to-live field in sent packets to the given value.
*From the book Nmap Network Scanning, Gordon “Fyodor” Lyon*

Da prendere in considerazione : (non correlato alla domanda)

  • Rileva sempre il fingerprinting attivo può . Impronta passiva preferita se possibile .

  • Potresti voler essere furtivo o accettare di essere rumoroso se usi tecniche di spoofing.

risposta data 11.04.2017 - 01:14
fonte

Leggi altre domande sui tag

Non ripudio in Exchange / Outlook senza firme digitali In che modo GnuPG conosce il vettore di inizializzazione per la decodifica?