Come si può usare lo strumento nmap per eludere un firewall / IDS?

Naviga le tue risposte
4

Alcune tecniche vengono utilizzate per proteggere il sistema operativo dagli attacchi di rete, ad esempio firewall, software antivirus, IDS come SNORT , ecc. Per sfruttare lo strumento nmap , è possibile ingannare il sistema di rilevamento delle intrusioni evadendo il rilevamento?

    
posta GAD3R 29.04.2016 - 14:18
fonte

2 risposte

8

Ci sono vari modi che sono utili con nmap per eludere le regole di base del firewall o del sistema di rilevamento delle intrusioni.

1) Frammentazione dei pacchetti:

  • Questa opzione elude la tecnica di rilevamento della corrispondenza del modello. Dal momento che il riassemblaggio dei pacchetti può richiedere un uso intensivo del processore, è frequente che l'amministratore lo disabiliti.

  • In snort, la funzionalità di riassemblaggio della frammentazione è disabilitata per impostazione predefinita.

  • Uso: #nmap -f <other options>

2) Esegui scansione:

  • Possiamo aggiungere alcuni host casuali dalla sottorete dell'attaccante o dalla subnet della vittima durante la scansione della destinazione.

  • Nei registri del firewall, ci saranno più host con l'IP dell'utente malintenzionato che rende difficile rintracciare l'autore dell'attacco.

  • Uso: #nmap -D <ip1, ip2,...,ME> <other options>

3) Indirizzo IP origine contraffazione:

  • L'attaccante può falsificare l'indirizzo IP di origine (dalla sottorete della vittima) in modo che appaia su IDS / firewall che è un utente legittimo e verrà passato.
  • Utilizzo: #nmap -S <spoofed ip> <other optins>

4) Porta origine spoof:

  • L'attaccante può spoofare la porta di origine no. durante la scansione del target per bypassare le regole nel firewall che consentono le richieste da poche porte (ad esempio la porta 53).
  • Uso: #nmap --source-port <port no> <other options>

5) Tempi di scansione:

  • Ci sono varie opzioni di temporizzazione incluse nella nmap per inviare pacchetti successivi. Può essere usato per eludere alcune delle regole nei firewall o IDS.

    T0: Paranoid (Attende 5 minuti tra l'invio di ciascuna sonda, non rilevato da IDS / IPS)

    T1: Sneaky (attende 15 secondi)

    T2: Polite

    T3: Normal

    T4: Aggressive

    T5: Insane (facilmente rilevabile)

    -Utilizzo: #nmap -T<0-5> <other options>

Ci sono altre opzioni come l'aggiunta di lunghezza di dati e Badsum che possono anche essere usate. Scansione IDLE è il migliore che suggerirò per eludere il firewall. Sebbene, tutti i metodi sopra menzionati pretendano di eludere il firewall / IDS, ma se le regole sono impostate correttamente la tua scansione può ancora essere rilevata.

    
risposta data 29.04.2016 - 15:53
fonte
2

Nmap ha diverse opzioni utili che possono aiutarti a eludere un firewall / IDS. L'efficacia di queste opzioni dipende da ciò che si sta affrontando, cioè il / i sistema / i e come sono configurati. Un firewall moderno correttamente configurato ostacolerà le tue scansioni in modo molto efficace.

Una buona ripartizione delle opzioni di nmap che è possibile utilizzare può essere trovata qui . In generale stai provando a modificare il traffico inviato da Nmap in un modo che causa il firewall / IDS con cui ti trovi a mancare.

Modifica

Una nota sui richiami (come richiesto nel commento qui sotto). L'opzione Nmap -D ti consente di specificare un elenco di indirizzi IP esca, ad esempio (192.168.1.1 come destinazione):

nmap -D 192.168.1.2,192.168.1.3,192.168.1.4 192.168.1.1

C'è anche la possibilità di generare alcuni ip casuali come decoy:

nmap -D RND:5 192.168.1.1

Si noti che ci sono molti avvertimenti usando -D; come il rischio che SYN invada il tuo obiettivo, gli ISP non inoltrano pacchetti contraffatti e sono disponibili solo utilizzando scansioni Nmap specifiche. Spero che ti aiuti!

    
risposta data 29.04.2016 - 15:03
fonte

Leggi altre domande sui tag

Quando si eseguono script di shell, è più sicuro passare informazioni sensibili usando stdin o un'opzione di stringa? Come scegliere un linux per l'apprendimento? [chiuso]