Ti fa rintracciare nmap?

Viene ricondotto al tuo IP. Tuttavia, questo non è praticamente evitabile.

Ciò che puoi fare tecnicamente è una "scansione inattiva" con nmap. Non entrerò troppo nel materiale tecnico, ma è basato sul canale laterale dell'ID IP che viene incrementato. Tuttavia, non ho mai sentito parlare di hacker che utilizzano effettivamente questo metodo. link

Tuttavia, Internet viene scansionato così tanto che non è possibile per l'amministratore investigare su ogni scansione delle porte.

Su una rete locale, dovresti rallentarlo molto in modo che non venga rilevato come una scansione delle porte. È quello che ha fatto phineas phisher quando ha hackerato l'hackteam. Anche sulla rete locale, ci sono molti falsi positivi quando si tratta di rilevare scansioni di porte.

È anche possibile utilizzare lo spoofing o i proxy IP per mascherare il tuo indirizzo IP nascondendolo tra molti altri indirizzi IP. Inoltre, per la scansione delle porte può essere utilizzato un proxy o una VPN. Questo nasconderà completamente il tuo indirizzo IP dalla destinazione. Puoi anche combinare i due metodi.

Quando esegui una scansione TCP syn, anche con una metà, devi dare via uno dei tuoi indirizzi IP per essere in grado di ottenere le risposte.

Quindi, spoofing non aiuterebbe. Tuttavia, ci sono due punti da notare qui:

1. le scansioni delle porte non sono illegali in tutte le giurisdizioni, quindi sapere di essere scansionato in una porta non è di alcuna utilità, ad eccezione della modifica dei firewall.

2. l'indirizzo IP può essere falsificato su una macchina sotto il controllo dell'aggressore che non è associato all'attaccante. Questo, a proposito, rende la scansione delle porte ancora più veloce.

Inoltre, con il rumore di fondo delle scansioni delle porte che è normale su Internet (e usando -T0), ci vorrebbe un log del firewall piuttosto grande e un sacco di potenza di calcolo per tracciare alcuni syns casuali a un portscan reale.

Detto questo: sì, nmap in modalità normale è piuttosto rumoroso e facilmente rilevabile dagli IDS.

Evitare il rilevamento è un argomento complicato e richiede una solida conoscenza dei concetti di rete sottostanti:

• Networking succede a strati . Ciascuno deve essere considerato separatamente per determinare quali informazioni vengono trasferite.
• Un sistema invierà risposte all'indirizzo nel campo dell'indirizzo sorgente. Se "parli" di questo come qualcos'altro, le risposte andranno lì e non le vedrai.
• L'anonimato non è sempre quello che vuoi. Anonimato significa che non hai un nome o informazioni identificative. Ma questo può farti risaltare in mezzo alla folla; il ragazzo che entra in una banca in una passamontagna è anonimo, ma sicuramente non andrà molto lontano. Invece, vuoi essere inosservato , che richiede un diverso insieme di comportamenti e tecniche.
• "I firewall moderni" non possono essere ignorati. Potrebbero esserci regole che consentono un certo traffico o potrebbero esserci vulnerabilità in altri sistemi che consentono a un utente malintenzionato di ruotare nella rete, ma in generale, le tecniche di "firewall bypass" in Nmap sono exploit per vulnerabilità che sono state corrette in qualsiasi firewall per cui le persone pagheranno denaro.
• Il blocco di un indirizzo IP è semplice ed economico. Se il tuo obiettivo è disposto a bloccarti, sarà altrettanto disposto a bloccare te e le tue esche. Oltre a questo, ci sono tecniche per scoprire la fonte "reale" di una scansione di esca, quindi non è infallibile.

Ho scritto un'analisi per rilevare Nmap ed evitare il rilevamento on il mio blog , ma ti avverto di non vederlo come un elenco "fai questo e funzionerà". Ogni situazione di scansione è diversa e hai davvero bisogno di conoscere il nocciolo dei concetti di networking prima di iniziare a giocare con le opzioni di Nmap.