Qual è l'opzione migliore da utilizzare per una scansione delle porte predefinita di un server sulla mia rete di test senza impostare gli id utilizzando nmap. -f non è un interruttore che sto volendo usare.
Qual è l'opzione migliore da utilizzare per una scansione delle porte predefinita di un server sulla mia rete di test senza impostare gli id utilizzando nmap. -f non è un interruttore che sto volendo usare.
Potresti non voler tentare affatto una scansione "predefinita" se tenti di eludere il rilevamento IDS. Un singolo tentativo di connessione a una porta chiusa potrebbe essere sufficiente per attivare un avviso; Verranno rilevati 100 o 1000 tentativi di questo tipo.
Per limitare le possibilità di rilevamento, concentrati su un piccolo insieme di porte a cui sei interessato e specificale con il flag -p . Inoltre, puoi regolare l'aggressività dei tempi di nmap. Potrebbe essere possibile volare sotto il radar dell'IDS con una scansione abbastanza lenta. Utilizza -Tn , dove n è 1-5; 1 è meno aggressivo e 5 è il più aggressivo.
Il manuale di nmap contiene anche alcuni consigli sull'evasione di IDS, come l'uso della frammentazione, l'esca , spoofing e host randomizzazione.
nmap scansiona per impostazione predefinita 1000 porte superiori. Fornendo l'opzione -F stai dicendo a nmap di scansionare solo le prime 100 porte. Queste porte sono le porte più comuni utilizzate per servizi come ftp, ssh, telnet, ecc. Se vuoi ancora scansionare alcune porte più comuni, puoi usare l'opzione --top-ports <n> . L'opzione eseguirà la scansione delle porte TCP e UDP superiori. Puoi usarlo come segue:
nmap --top-ports 1000 IP_ADDRESS
Fonte: link
Leggi altre domande sui tag linux network penetration-test nmap