Nous avons couvert différents types d'analyses Nmap qui peuvent être utilisées pour échapper à la détection du pare-feu et de l'IDS. Nous avons discuté de la fragmentation des paquets, de l'analyse leurre, de l'analyse furtive et des analyses proxy. Nous avons utilisé des sources publiques pour effectuer l'expiration.

Notes d'étude de l'équipe bleue

Cours complet Splunk SIEM avec scénarios pratiques

Points forts

Objectifs du pare-feu et de l'évasion IPS/IDS

Il existe plusieurs scénarios dans lesquels vous pourriez avoir besoin de contourner un IDS existant tel que Snort. Cela dépend de ce que vous êtes ou de l'étape à laquelle vous vous situez dans la chaîne de cyberattaque lors de votre interaction avec la cible. Dans l'ensemble, un IDS/IPS peut être un problème le plus souvent dans les cas suivants :

  • Analyse des ports
  • Exfiltration de données
  • Premier pied (coquille)

Pare-feu et évasion IPS/IDS Méthodes

  1. Évasion via la manipulation de protocole
  2. Évasion via la manipulation de la charge utile
  3. Évasion via la manipulation d'itinéraire
  4. Évasion via un déni de service tactique (DoS)

Nmap analyse les méthodes pour échapper à la détection du pare-feu

  • Analyse FIN contre un pare-feu sans état
  • Modification du port source à l'aide de option -g
 nmap -sU -Pn -g 53 -F 10.10.10.1
  • Utilisation des analyses IPv6
  • Fragmentation utilisant –option f
nmap -f 10.10.10.1
# le paquet est divisé en 3 fragments
 nmap --mtu 24 10.10.10.1
# MTU doit être un multiple de 8
  • Analyses proxy
nmap -sS HTTP://PROXY_HOST1:8080,SOCKS4://PROXY_HOST2:4153
10.10.10.1

De cette façon, vous feriez passer votre analyse via le proxy HTTP host1, puis le proxy SOCKS4 host2, avant d'atteindre votre cible.

  • Usurpation d'adresse Mac
nmap --spoof-mac Cisco 10.10.10.1
 # Usurpation des adresses MAC Cisco
  • Délai de numérisation à l'aide de l'option –délai d'analyse MS
  • Analyses de zombies
nmap -sI 10.10.10.5 10.10.10.1
 # Ici, nous effectuons le scan comme s'il provenait du 10.10.10.5
  • Une alternative à l'analyse Zombie est l'analyse Decoy en utilisant l'option -D ou en utilisant l'analyse proxy.

Vidéo pas à pas

,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles