Wir haben verschiedene Arten von Nmap-Scans behandelt, mit denen die Erkennung durch Firewalls und IDS umgangen werden kann. Wir haben Paketfragmentierung, Decoy-Scan, Stealth-Scan und Proxy-Scans besprochen. Für das Experiment haben wir öffentliche Quellen verwendet.
Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien
Höhepunkte
Ziele der Firewall- und IPS/IDS-Umgehung
Es gibt mehrere Szenarien, in denen Sie möglicherweise ein vorhandenes IDS wie Snort umgehen müssen. Es hängt davon ab, was Sie sind oder in welcher Phase der Cyber-Kill-Kette Sie sich während Ihrer Interaktion mit dem Ziel befinden. Insgesamt kann ein IDS/IPS am häufigsten in folgenden Situationen zum Problem werden:
- Port-Scanning
- Datenexfiltration
- Erster Halt (Schale)
Firewall- und IPS/IDS-Umgehung Methoden
- Umgehung durch Protokollmanipulation
- Umgehung durch Payload-Manipulation
- Ausweichen durch Routenmanipulation
- Umgehung durch Tactical Denial of Service (DoS)
Nmap scannt Methoden, um die Firewall-Erkennung zu umgehen
- FIN-Scan gegen Stateless-Firewall
- Ändern des Quellports mit Option -g
nmap -sU -Pn -g 53 -F 10.10.10.1
- Verwenden von IPv6-Scans
- Befragung mittels –f-Option
nmap -f 10.10.10.1
# Das Paket wird in 3 Fragmente aufgeteilt
nmap --mtu 24 10.10.10.1
# MTU muss ein Vielfaches von 8 sein
- Proxy-Scans
nmap -sS HTTP://PROXY_HOST1:8080,SOCKS4://PROXY_HOST2:4153
10.10.10.1
Auf diese Weise würden Sie Ihren Scan erst über den HTTP-Proxy-Host1 und dann über den SOCKS4-Proxy-Host2 laufen lassen, bevor er Ihr Ziel erreicht.
- Mac-Adress-Spoofing
nmap --spoof-mac Cisco 10.10.10.1
# Spoofing von Cisco-MAC-Adressen
- Scan-Verzögerung mit der Option –Scan-Verzögerung MS
- Zombie-Scans
nmap -sI 10.10.10.5 10.10.10.1
# Hier machen wir den Scan so, als stamme er vom 10.10.10.5
- Eine Alternative zum Zombie-Scan ist der Decoy-Scan mit der Option -D oder der Proxy-Scan.
Video-Komplettlösung