web-dev-qa-db-ja.com

nmapツールを使用してファイアウォール/ IDSを回避するにはどうすればよいですか?

ファイアウォール、アンチウイルスソフトウェア、IDSのような [〜#〜] snort [〜#〜] など、ネットワーク攻撃からオペレーティングシステムを保護するためにいくつかの手法が使用されています。nmapツール、検出を回避することで侵入検知システムを欺くことは可能ですか?

5
GAD3R

ファイアウォールまたは侵入検知システムの基本的なルールを回避するためにnmapで便利なさまざまな方法があります。

1)パケットの断片化:

  • このオプションは、パターンマッチングの検出手法を回避します。パケットの再構成はプロセッサを集中的に使用する可能性があるため、管理者が無効にするのが一般的です。

  • Snortでは、フラグメンテーション再構成機能はデフォルトで無効になっています。

  • 使用法: #nmap -f <other options>

2)おとりスキャン:

  • ターゲットのスキャン中に、攻撃者のサブネットまたは被害者のサブネットからランダムなホストを追加できます。

  • ファイアウォールログには、攻撃者のIPとともに複数のホストが存在し、攻撃者の追跡が困難になります。

  • 使用法: #nmap -D <ip1, ip2,...,ME> <other options>

3)なりすましソースIPアドレス:

  • 攻撃者は(被害者のサブネットからの)送信元IPアドレスを偽装できるため、IDS /ファイアウォールからは正当なユーザーであり、渡されるように見えます。
  • 使用法:#nmap -S <spoofed ip> <other optins>

4)スプーフィングソースポート:

  • 攻撃者は送信元ポートを偽装できます。ターゲットをスキャンして、いくつかのポート(例:ポート53)からのリクエストを許可するファイアウォールのルールをバイパスする.
  • 使用法: #nmap --source-port <port no> <other options>

5)スキャンタイミング:

  • Nmapには、連続するパケットを送信するためのさまざまなタイミングオプションがあります。ファイアウォールまたはIDSの一部のルールを回避するために使用できます。

    T0:パラノイド(IDS/IPSによって検出されない、各プローブの送信の間に5分間待機)

    T1:卑劣(15秒待機)

    T2:ポライト

    T3:通常

    T4:アグレッシブ

    T5:非常識(簡単に検出可能)

    -使用法: #nmap -T<0-5> <other options>

データ長の追加やBadsumなどのオプションも使用できます。 IDLE Scanは、ファイアウォールを回避するために私が提案する最高のものです。ただし、上記のすべての方法はファイアウォール/ IDSを回避すると主張していますが、ルールが適切に設定されていれば、スキャンを引き続き検出できます。

8
Scissor

Nmapには、ファイアウォール/ IDSを回避するのに役立ついくつかの便利なオプションがあります。これらのオプションの有効性は、システムとその構成方法など、どのような問題があるかによって異なります。適切に構成された最新のファイアウォールは、スキャンを非常に効果的に妨げます。

使用できるnmapオプションの適切な内訳は here で確認できます。一般的に言えば、Nmapによって送信されたトラフィックを変更して、相手のファイアウォール/ IDSがそれを見逃してしまうような方法で試みています。

編集

デコイに関するメモ(下記のコメントでリクエストされています)。 Nmap -Dオプションを使用すると、おとりIPアドレスのリストを指定できます(例:192.168.1.1をターゲットとして):

nmap -D 192.168.1.2,192.168.1.3,192.168.1.4 192.168.1.1

おとりとしてランダムなIPを生成する機能もあります。

nmap -D RND:5 192.168.1.1

-Dの使用にはいくつかの注意点があることに注意してください。 SYNがターゲットをフラッディングするリスク、ISPがスプーフィングされたパケットを転送せず、特定のNmapスキャンを使用した場合にのみ利用可能になる。

2
GreatSeaSpider