Cubrimos diferentes tipos de escaneos de Nmap que pueden usarse para evadir la detección de Firewall e IDS. Hablamos de la fragmentación de paquetes, el análisis de señuelos, el análisis sigiloso y los análisis de proxy. Utilizamos fuentes públicas para realizar la caducidad.
Notas de estudio del equipo azul
Curso completo de Splunk SIEM con escenarios prácticos
Reflejos
Objetivos del firewall y la evasión de IPS/IDS
Hay varios escenarios en los que es posible que necesites omitir un IDS existente como Snort. Depende de quién se encuentre o en qué etapa de la cadena de ciberataque durante su interacción con el objetivo. En general, un IDS/IPS podría ser un problema más común durante:
- Escaneo de puertos
- Exfiltración de datos
- Primer punto de apoyo (caparazón)
Cortafuegos y evasión de IPS/IDS Métodos
- Evasión mediante manipulación de protocolos
- Evasión mediante manipulación de carga útil
- Evasión mediante manipulación de ruta
- Evasión mediante denegación táctica de servicio (DoS)
Nmap analiza métodos para evadir la detección del firewall
- Escaneo FIN contra firewall sin estado
- Cambiar el puerto de origen usando -g opción
nmap -sU -Pn -g 53 -F 10.10.10.1
- Usando escaneos IPv6
- Fragmentación usando –opción f
mapan-f 10.10.10.1
# el paquete se divide en 3 fragmentos
nmap --mtu 24 10.10.10.1
# MTU debe ser múltiplo de 8
- Escaneos de proxy
nmap -sS HTTP://PROXY_HOST1:8080,SOCKS4://PROXY_HOST2:4153
10.10.10.1
De esta manera, haría que su escaneo pasara por el host1 del proxy HTTP y luego por el host2 del proxy SOCKS4, antes de alcanzar su objetivo.
- Falsificación de direcciones Mac
nmap--spoof-mac Cisco 10.10.10.1
# Falsificación de direcciones MAC de Cisco
- Retardo de escaneo usando la opción –retraso de escaneo EM
- Escaneos de zombis
mapan-sI 10.10.10.5 10.10.10.1
# Aquí hacemos el escaneo como si tuviera su origen en 10.10.10.5
- La alternativa al escaneo Zombie es el escaneo Decoy usando la opción -D o usando el escaneo proxy.
Tutorial en vídeo
