Ho eseguito una scansione di vulnerabilità per un server client con lo scanner OpenVas ma dopo alcuni minuti il mio indirizzo IP è stato bloccato perché l'IDS del server ha identificato le query multiple correlate alla scansione.
Ho pensato che fosse possibile nascondersi dietro più indirizzi IP o nasconderlo nel rumore come con Nmap ma non vedo alcuna opzione in questo senso.
Passare attraverso un proxy non impedirà il blocco.
Questo pone un problema operativo reale, come aggirare il problema?
Grazie.
Il 24 febbraio vorrei fornire alcune informazioni aggiuntive:
È necessario vedere che non sono io ad amministrare il server, semplicemente eseguo una scansione in modalità blackbox su richiesta di questo client.
Quindi dovrei gestirlo senza conoscerne la configurazione precisa.
Ma mi ha detto che usa Iptable e definisce tutte le possibili regole per rilevare gli IP sospetti (può essere uno strumento dello stile failtoban)
Quindi potrebbe non essere nemmeno un IDS.
Ho realizzato la scansione per la prima volta senza essere bloccata, l'ho fatto di nuovo e sono stato bloccato dopo 10 minuti.
Il client ha autorizzato nuovamente l'IP in modo da poter accedere nuovamente al sito.
So che con nmap ci sono opzioni per essere discreti come scegliere un particolare timing. Ma guardo tutte le opzioni degli strumenti openvas che non vedo queste possibilità.
Penso che a differenza di nmap, che è uno strumento di riconoscimento, la scansione delle vulnerabilità sia orientata alla "difesa" e per questo motivo non possiede queste opzioni. Sto parlando di OpenVas, non conosco le possibilità di altri strumenti di scansione delle vulnerabilità.