nmapツールを使用してファイアウォール/ IDSを回避するにはどうすればよいですか？

ファイアウォールまたは侵入検知システムの基本的なルールを回避するためにnmapで便利なさまざまな方法があります。

1）パケットの断片化：

• このオプションは、パターンマッチングの検出手法を回避します。パケットの再構成はプロセッサを集中的に使用する可能性があるため、管理者が無効にするのが一般的です。

• Snortでは、フラグメンテーション再構成機能はデフォルトで無効になっています。

• 使用法： #nmap -f <other options>

2）おとりスキャン：

• ターゲットのスキャン中に、攻撃者のサブネットまたは被害者のサブネットからランダムなホストを追加できます。

• ファイアウォールログには、攻撃者のIPとともに複数のホストが存在し、攻撃者の追跡が困難になります。

• 使用法： #nmap -D <ip1, ip2,...,ME> <other options>

3）なりすましソースIPアドレス：

• 攻撃者は（被害者のサブネットからの）送信元IPアドレスを偽装できるため、IDS /ファイアウォールからは正当なユーザーであり、渡されるように見えます。
• 使用法：#nmap -S <spoofed ip> <other optins>

4）スプーフィングソースポート：

• 攻撃者は送信元ポートを偽装できます。ターゲットをスキャンして、いくつかのポート（例：ポート53）からのリクエストを許可するファイアウォールのルールをバイパスする.
• 使用法： #nmap --source-port <port no> <other options>

5）スキャンタイミング：

• Nmapには、連続するパケットを送信するためのさまざまなタイミングオプションがあります。ファイアウォールまたはIDSの一部のルールを回避するために使用できます。

  T0：パラノイド（IDS/IPSによって検出されない、各プローブの送信の間に5分間待機）

  T1：卑劣（15秒待機）

  T2：ポライト

  T3：通常

  T4：アグレッシブ

  T5：非常識（簡単に検出可能）

  -使用法： #nmap -T<0-5> <other options>

データ長の追加やBadsumなどのオプションも使用できます。 IDLE Scanは、ファイアウォールを回避するために私が提案する最高のものです。ただし、上記のすべての方法はファイアウォール/ IDSを回避すると主張していますが、ルールが適切に設定されていれば、スキャンを引き続き検出できます。