a quali strumenti di scansione è improbabile impostare l'ID di rete?

Come per la maggior parte delle cose, non si tratta dello strumento, ma di come lo si utilizza.

Prendi nmap per esempio.

I principianti dello strumento o degli script possono eseguire la scansione utilizzando l'opzione predefinita.

nmap 192.168.1.0/24

Il comportamento predefinito per nmap senza specificare alcun flag di addizione sarebbe quello di eseguire una scansione syn, quindi la query precedente sarebbe uguale a.

nmap -sS 192.168.1.0/24

Le scansioni Syn sono ragionevolmente invisibili. Tuttavia, la maggior parte dei firewall / IDS moderni dovrebbe essere in grado di rilevare i pacchetti di syn in quanto è una tecnica di scansione molto comune.

Gli utenti meno esperti ma ancora inesperti possono eseguire anche scansioni di Noiser usando nmap.

nmap -sV 192.168.1.0/24

nmap -A 192.168.1.0/24

Una scansione nmap attivata con questi due flag di scansione è MOLTO rumorosa. Oltre a inviare una varietà di tipi di pacchetti e acquisire informazioni sui banner, nmap utilizzerà il motore di script nmap per eseguire attività aggiuntive come la bruteforcing della stringa della community SNMP, se applicabile. Tali scansioni saranno facilmente rilevabili.

Gli utenti più esperti possono eseguire più tipi di scansione invisibili specificando determinati flag. nmap è uno strumento molto potente in quanto consente di impostare diversi flag in un pacchetto TCP per eludere le regole del firewall. ACK & FIN sono due tecniche molto comunemente utilizzate per eludere i firewall.

Altre tecniche avanzate come la scansione inattiva possono anche essere eseguite usando nmap. È uno scanner di rete molto versatile che può essere molto silenzioso nelle mani di un utente esperto.

Alcuni suggerimenti

Non eseguire scansioni di syn o scansioni di versione su intere sottoreti, a meno che non sia necessario. È lento e rumoroso. Utilizzare invece l'opzione di scansione ping per scoprire quali host sono attivi su una sottorete.

nmap -sn 192.168.1.0/24

Questa opzione restituirebbe un elenco di IP host e indirizzi MAC attivi nella sottorete.

Una volta ottenuto un elenco di host attivi, esegui la scansione selettiva degli host che ritieni siano interessanti. Ad esempio, l'indirizzo IP 192.168.1.1 mi sembra interessante, potrei voler saperne di più. Esegui una scansione syn.

nmap -sS 192.168.1.1

Per impostazione predefinita, nmap esegue la scansione delle più popolari migliaia di porte in base a un elenco compilato dall'autore. Questo è abbastanza buono per la maggior parte degli scopi. Tuttavia, potrebbero esserci alcuni scenari in cui potresti voler specificare porte specifiche. Puoi farlo usando il flag -p.

nmap -sS -p 80 192.168.1.0/24

Questa scansione invierebbe pacchetti syn all'intera sottorete, cercando gli indirizzi IP attivi con la porta 80 aperta. Questa è una scansione utile per determinare quale host potrebbe avere un server HTTP attivo.

nmap -sV 192.168.1.1

Il flag -sV specifica l'opzione di scansione della versione. Questa opzione indica a nmap di inviare un'ampia gamma di pacchetti agli host e di analizzare le intestazioni dei pacchetti restituiti per verificare la versione esatta di un servizio in esecuzione sull'host.

Questa è una versione molto potente ma rumorosa. Usare con cautela.

nmap -A 192.168.1.1

Il flag -A indica a nmap di utilizzare una scansione aggressiva. Questo è un passo avanti rispetto alla scansione della versione e utilizza il motore di scripting nmap. Questo è molto rumoroso.

nmap è uno strumento molto potente. Se vuoi saperne di più, ti consiglio vivamente di prendere il libro scritto dal suo autore.

In realtà direi che il modo migliore per evitare il rilevamento da IDS è di non usare affatto gli scanner. La maggior parte degli strumenti di scansione hanno firme che possono essere riconosciute da IDS, quindi possono essere incorporate nelle loro basi di regole. Alcuni (come nmap) hanno opzioni per rallentare la scansione o scansionare in modo più casuale per cercare di evitare il rilevamento, ma se l'IDS scatta qui dipenderà da come è configurato.

Ci sono due tipi di traffico che mi aspetterei di bypassare IDS.

1. Traffico legittimo - Ad esempio connessioni a porte 80/443 su un server web. se stai guardando una rete esterna, è improbabile che il tentativo di connetterti manualmente ai sistemi su porte Web effettui un errore IDS a meno che non provi a farlo molto rapidamente.
2. Traffico spazzatura ovvio - Sempre su reti esterne, per evitare di essere sommersi da falsi positivi, l'IDS potrebbe essere ottimizzato per scartare determinati tipi di scansione (ad esempio scansioni per la porta 445 / TCP). Anche se non è probabile che abbiano successo, puoi usare una scansione per quella porta per provare a stabilire gli host dal vivo in un intervallo e potresti bypassare l'IDS poiché verrà preso come una delle solite scansioni che ogni sistema sul Internet ottiene ..

Può utilizzare scanner standard non intrusivi come Nmap. Dovrebbe essere regolato nel modo in cui è abbastanza lento da non attivare gli allarmi. Le informazioni raccolte sono:

• Host attivi
• Versione del sistema operativo
• Servizi in esecuzione (porte)
• Banner / versioni di questi servizi

Inoltre, è possibile eseguire la scansione Nessus non invasiva, il modo in cui non sta tentando di eseguire exploit o autenticare, ma semplicemente ping, si connette alle porte e controlla i banner. Gli elementi chiave:

• Slow scan, forse da più numeri IP
• Non tentare di accedere, ma leggi il banner

Nello scenario più semplice, sta scoprendo la loro sottorete e quindi visitando tramite il browser ogni host. Ha un'alta efficienza e causa poco allarmismo.

Potresti usare nmap con tortunnel e proxychains. Ma la scansione attraverso tor è molto, molto lenta.

E ricorda di creare una regola che cancelli i pacchetti dal tuo vero IP in modo che il tuo vero indirizzo IP non venga divulgato.

(se siete su linux iptables -A OUTPUT --dest "target" -j DROP)