Saltar al contenido

¿Cómo se puede usar la herramienta nmap para evadir un firewall/IDS?

Mantén la atención ya que en este post encontrarás el arreglo que buscas.Este escrito fue analizado por nuestros especialistas para garantizar la calidad y veracidad de nuestro contenido.

Solución:

Hay varias formas útiles con nmap para evadir las reglas básicas del firewall o el sistema de detección de intrusos.

1) Fragmentación de paquetes:

  • Esta opción evade la técnica de detección de coincidencia de patrones. Dado que el reensamblado de paquetes puede requerir un uso intensivo del procesador, es común que el administrador lo deshabilite.

  • En snort, la funcionalidad de reensamblaje de fragmentación está deshabilitada de forma predeterminada.

  • Uso: #nmap -f

2) Escaneo de señuelo:

  • Podemos agregar algunos hosts aleatorios de la subred del atacante o de la subred de la víctima mientras escaneamos el objetivo.

  • En los registros del cortafuegos, habrá varios hosts junto con la IP del atacante, lo que dificultará su rastreo.

  • Uso: #nmap -D

3) Dirección IP de origen falso:

  • El atacante puede suplantar la dirección IP de origen (de la subred de la víctima) para que parezca que el IDS/firewall es un usuario legítimo y se pasará.
  • Uso:#nmap -S

4) Puerto de origen falso:

  • El atacante puede falsificar el Puerto de origen no. mientras escanea el objetivo para eludir las reglas en el firewall que permiten solicitudes de pocos puertos (por ejemplo, Puerto 53).
  • Uso: #nmap --source-port

5) Tiempo de escaneo:

  • Hay varias opciones de temporización incluidas en el nmap para enviar paquetes sucesivos. Puede usarse para evadir algunas de las reglas en los firewalls o IDS.

    T0: paranoico (espera 5 minutos entre el envío de cada sonda, no detectado por IDS/IPS)

    T1: Disimulado (espera 15 segundos)

    T2: Cortés

    T3:Normal

    T4:Agresivo

    T5: Loco (fácilmente detectable)

    -Uso: #nmap -T<0-5>

Hay otras opciones, como la adición de longitud de datos y Badsum, que también se pueden usar. Escaneo inactivo es lo mejor que sugeriré para evadir el firewall. Aunque todos los métodos mencionados anteriormente pretenden evadir el firewall/IDS, pero si las reglas se configuran correctamente, aún se puede detectar su escaneo.

Nmap tiene varias opciones útiles que pueden ayudarlo a evadir un firewall/IDS. La eficacia de estas opciones dependerá de a lo que se enfrente, es decir, del sistema o sistemas y de cómo estén configurados. Un cortafuegos moderno y correctamente configurado dificultará sus escaneos de manera muy efectiva.

Puede encontrar un buen desglose de las opciones de nmap que puede usar aquí. En términos generales, está tratando de cambiar el tráfico enviado por Nmap de una manera que hace que el firewall/IDS al que se enfrenta lo pase por alto.

Editar

Una nota sobre señuelos (como se solicita en el comentario a continuación). La opción Nmap -D le permite especificar una lista de direcciones IP de señuelo, por ejemplo (192.168.1.1 como objetivo):

nmap -D 192.168.1.2,192.168.1.3,192.168.1.4 192.168.1.1

También existe la posibilidad de generar algunas direcciones IP aleatorias como señuelos:

nmap -D RND:5 192.168.1.1

Tenga en cuenta que hay varias advertencias al usar -D; como el riesgo de que SYN inunde su objetivo, los ISP no reenvían paquetes falsificados y solo están disponibles mediante escaneos específicos de Nmap. ¡Espero que ayude!

Valoraciones y reseñas

¡Haz clic para puntuar esta entrada!
(Votos: 2 Promedio: 4.5)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *