Saltar al contenido

¿Cómo se puede utilizar la herramienta nmap para evadir un firewall / IDS?

Solución:

Hay varias formas que resultan útiles con nmap para evadir las reglas básicas del firewall o del sistema de detección de intrusiones.

1) Fragmentación de paquetes:

  • Esta opción evita la técnica de detección de coincidencia de patrones. Dado que el reensamblaje de paquetes puede requerir un uso intensivo del procesador, es común que el administrador lo desactive.

  • En snort, la funcionalidad de reensamblaje de fragmentación está deshabilitada de forma predeterminada.

  • Uso: #nmap -f <other options>

2) Escaneo de señuelo:

  • Podemos agregar algunos hosts aleatorios de la subred del atacante o de la subred de la víctima mientras escanea el objetivo.

  • En los registros del firewall, habrá varios hosts junto con la IP del atacante, lo que dificultará el rastreo del atacante.

  • Uso: #nmap -D <ip1, ip2,...,ME> <other options>

3) Dirección IP de origen falso:

  • El atacante puede falsificar la dirección IP de origen (de la subred de la víctima) para que el IDS / firewall le parezca que es un usuario legítimo y se pasará.
  • Uso:#nmap -S <spoofed ip> <other optins>

4) Puerto de origen falso:

  • El atacante puede falsificar el puerto de origen no. mientras se escanea el objetivo para evitar las reglas del firewall que permiten solicitudes de algunos puertos (por ejemplo, el puerto 53).
  • Uso: #nmap --source-port <port no> <other options>

5) Tiempo de escaneo:

  • Hay varias opciones de tiempo incluidas en el nmap para enviar paquetes sucesivos. Puede usarse para evadir algunas de las reglas en los firewalls o IDS.

    T0: Paranoico (espera 5 minutos entre el envío de cada sonda, no detectado por IDS / IPS)

    T1: Sneaky (espera 15 segundos)

    T2: cortés

    T3: normal

    T4: agresivo

    T5: loco (fácilmente detectable)

    -Uso: #nmap -T<0-5> <other options>

Hay otras opciones, como la adición de longitud de datos y Badsum, que también se pueden utilizar. Escaneo inactivo es lo mejor que sugeriré para evadir el firewall. Aunque, todos los métodos mencionados anteriormente afirman evadir el firewall / IDS, pero si las reglas se establecen correctamente, su escaneo aún puede ser detectado.

Nmap tiene varias opciones útiles que pueden ayudarlo a evadir un firewall / IDS. La eficacia de estas opciones dependerá de a qué se enfrente, es decir, del sistema o sistemas y de cómo estén configurados. Un firewall moderno y correctamente configurado obstaculizará sus escaneos de manera muy efectiva.

Puede encontrar un buen desglose de las opciones de nmap que puede usar aquí. En términos generales, está tratando de cambiar el tráfico enviado por Nmap de una manera que hace que el firewall / IDS al que se enfrenta lo pierda.

Editar

Una nota sobre los señuelos (como se solicita en el comentario a continuación). La opción Nmap -D le permite especificar una lista de direcciones IP señuelo, por ejemplo (192.168.1.1 como destino):

nmap -D 192.168.1.2,192.168.1.3,192.168.1.4 192.168.1.1

También existe la posibilidad de generar algunas direcciones IP aleatorias como señuelos:

nmap -D RND:5 192.168.1.1

Tenga en cuenta que hay varias advertencias al usar -D; como el riesgo de que SYN inunde su objetivo, los ISP no reenvíen paquetes falsificados y solo estén disponibles mediante escaneos específicos de Nmap. ¡Espero que ayude!

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *