web-dev-qa-db-ja.com

nmapはあなたにさかのぼりますか?

私はCEHで認定を受けたばかりで、nmapと、それがスリーウェイハンドシェイクを実際に操作してクールな情報を取得する方法について多くのことを学びました。

考えられる検出の問題について質問があります。

-sSスキャンの一部としても、SYNパケットを送信するとき、そのパケットはソースIPを伝送しますか?もしそうなら、あなたのターゲットはその接続の試みをファイアウォールのログに記録し、あなたに接続を追跡できませんでしたか?それとも、検出されていないことを思い出させたい場合は、IPを偽装する必要があるのは、暗黙の「no duh」だけですか?またはnampはこれを自動的に行いますか?または、接続が失敗し、3ウェイハンドシェイクが完了していない場合、何もログに記録されませんか?

4
Tobin Shields

IPまでさかのぼります。ただし、これは実際には回避できません。

技術的にできることは、nmapを使用した「アイドルスキャン」です。技術的なことはあまり取り上げませんが、IP IDのサイドチャネルが増加することに基づいています。ただし、この方法を実際に使用しているハッカーのことは聞いたことがありません。 https://nmap.org/book/idlescan.html

ただし、インターネットは非常にスキャンされているため、管理者がすべてのポートスキャンを調査する方法はありません。

ローカルネットワークでは、ポートスキャンとして検出されないように、速度を大幅に低下させる必要があります。それはフィニアスフィッシングがハックチームをハッキングしたときにしたことです。ローカルネットワーク上でも、ポートスキャンの検出に関しては多くの誤検知があります。

IPスプーフィングやプロキシを使用して、他の多くのIPアドレスの中にIPアドレスを隠すことで、IPアドレスをマスクすることもできます。さらに、ポートスキャンにプロキシまたはVPNを使用できます。これにより、ターゲットからIPアドレスが完全に隠されます。 2つの方法を組み合わせることもできます。

4
Daniel Grover

TCP= synスキャンを実行している場合は、半分のスキャンでも、回答を取得できるようにIPアドレスの1つを与える必要があります。

したがって、なりすましは役に立ちません。ただし、ここで注意すべき点が2つあります。

  1. ポートスキャンはすべての管轄区域で違法ではないため、ファイアウォールを変更することを除いて、ポートスキャンであることを知っていることは役に立ちません。

  2. iPアドレスは、攻撃者に関連付けられていない、攻撃者の制御下にあるマシンになりすまされる可能性があります。ちなみに、これにより、ポートスキャンがさらに高速になります。

さらに、インターネットで通常行われているポートスキャンのバックグラウンドノイズ(および-T0の使用)により、ランダムなシンを実際のポートスキャンまで追跡するには、かなり大きなファイアウォールログと大量の計算能力が必要になります。

つまり、はい、通常モードのnmapはかなりノイズが多く、IDSによって簡単に検出されます。

2
Tobi Nary

検出の回避は複雑なトピックであり、基礎となるネットワークの概念をしっかりと理解する必要があります。

  • ネットワーキングが発生する レイヤー内 。転送される情報を決定するには、それぞれを個別に検討する必要があります。
  • システムは、送信元アドレスフィールドのアドレスに応答を送信します。これを別のものとして「偽装」すると、返信がそこに送られ、表示されなくなります。
  • 匿名性は必ずしもあなたが望むものではありません。匿名性とは、名前や識別情報がないことを意味します。しかし、これはあなたを群衆の中で目立たせることができます。スキー用マスクを着て銀行に足を踏み入れる男は匿名ですが、彼はそれほど遠くないでしょう。代わりに、あなたは知らさ​​れていないになりたいので、これには異なる動作とテクニックのセットが必要です。
  • 「最新のファイアウォール」は回避できません。一部のトラフィックを許可するルールがある場合や、攻撃者がネットワークに侵入することを可能にする他のシステムに脆弱性がある場合がありますが、一般的に、Nmap人々がお金を払うあらゆるファイアウォールで修正された脆弱性の悪用。
  • IPのブロックは簡単で安価です。あなたのターゲットがあなたをブロックすることをいとわないなら、彼らはあなたとあなたのデコイをブロックするのと同様に進んでいます。それとは別に、おとりスキャンの「本当の」ソースを発見するためのテクニックがあるので、それは絶対確実ではありません。

私はNmapを検出し、検出を回避する 私のブログ上 の分析を書きましたが、「これを実行すれば機能する」と見なさないように注意してくださいリストすべてのスキャン状況は異なります。Nmapオプションをいじる前に、ネットワーキングの概念の要点を知る必要があります。

1
bonsaiviking