Por fin después de mucho luchar ya encontramos el resultado de este enigma que agunos usuarios de este sitio tienen. Si quieres aportar algún detalle no dejes de dejar tu conocimiento.
Solución:
La idea básica de un escaneo Zombie o Idle es enviar paquetes falsificados de origen al destino, luego observar algún cambio de estado en la pila TCP/IP de la máquina con la dirección de origen falsificada. El método original, descubierto en 1998, usaba el campo ID de IP para observar el estado.
de Nmap -sI
Idle Scan es una buena implementación que puede consultar el host Zombie/Idle para determinar su algoritmo para incrementar el campo de ID de IP; en algunos casos, se incrementa en 2 o en 256. Depende del usuario elegir un anfitrión Zombie apropiado. Al realizar un escaneo con el -O
(huellas digitales del sistema operativo) y -v
(detallado), el usuario puede encontrar máquinas que tienen una secuencia de ID de IP incremental, luego dirigirse a ellas con Nping u otra herramienta de elaboración de paquetes para identificar aquellas que no experimentan mucho tráfico. La parte “inactiva” del análisis significa que el zombi debe estar mayormente inactivo (sin comunicarse con otros hosts) para que funcione el análisis. Finalmente, el escaneo se realiza usando un comando como el que publicaste: nmap -Pn -sI zombieIP targetIP
La técnica es algo así:
- Nmap sondea a Zombie para determinar su clase de secuencia de ID de IP y el valor actual que está utilizando.
- Luego, Nmap envía paquetes TCP SYN a varios puertos en el objetivo, pero falsifica la dirección de origen para que sea la del zombi.
- Durante el escaneo, Nmap sondea continuamente a Zombie para averiguar cuántos paquetes ha enviado. Esperando un paquete por sonda, si encuentra que se han enviado dos paquetes, puede suponer que el otro era un paquete RST en respuesta al SYN/ACK del objetivo, lo que indica un puerto abierto.
En la versión 6.45, Nmap agregó la capacidad de realizar escaneos inactivos a través de IPv6. La técnica es similar, pero en su lugar utiliza el campo Id. de fragmentación de IPv6. La técnica fue descubierta por Mathias Morbitzer y estará disponible en la próxima versión de Nmap.
Los escaneos señuelo son una técnica mucho menos interesante. Todos los paquetes se originan en su máquina de escaneo, pero algunos tienen direcciones de origen falsificadas. Las respuestas a estas fuentes falsificadas no llegarán a su escáner, por lo que no se pueden usar para determinar los estados de los puertos. Esta técnica solo sirve para confundir la detección de escaneo de puertos y no ofrece ninguna información más allá de un escaneo normal.