Ho visto moltissimo su Idle Scans e ID IP incrementali in rete, ma ho difficoltà a trovare una "soluzione" al problema. C'è un modo per "impostare" gli ID IP per esempio su tutti gli zeri o è codificato nel kernel?
Esempio concreto: l'host ha ID IP casuali, ma con un'entropia piuttosto bassa (< 5 bit).
Nel caso in cui tu possa cambiarlo - come funziona sotto Linux e come funziona sotto windows?
Ho appena finito di leggere una sezione sulla scansione inattiva in un libro di testo meno di un'ora fa. Ecco cosa dice:
Newer operating systems, such as the recent Linux kernel, OpenBSD, and Windows Vista, randomize the IP ID, but older operating systems and hardware (such as printers) typically do not.
Quindi penso che se la tua macchina è in esecuzione su Vista o 7 (o anche su 8?), non devi preoccuparti troppo di essere usato come host inattivo.
Il campo ID IP è necessario solo per riconoscere i pacchetti appartenenti ai frammenti, quindi puoi impostarlo su 0 per qualsiasi altro pacchetto (a parte forse dal DNS, dove l'ID IP è usato come un hack per mitigare l'avvelenamento della cache). Se nient'altro funziona, puoi scrivere una piccola applicazione C basata su libnetfilter-queue.
Penso che Linux in realtà randomizzi l'IP ID per connessione o così. Guarda cosa sta succedendo prima di manipolare la configurazione. Inoltre, di solito non è così importante se qualcuno può effettuare il portscan del tuo sistema. Se sei preoccupato per l'esecuzione di servizi, prova a metterli al sicuro invece di nasconderli.
Leggi altre domande sui tag windows linux nmap vulnerability-scanners