Abbiamo trattato diversi tipi di scansioni Nmap che possono essere utilizzate per eludere il rilevamento di Firewall e IDS. Abbiamo discusso della frammentazione dei pacchetti, della scansione esca, della scansione invisibile e delle scansioni proxy. Abbiamo utilizzato fonti pubbliche per eseguire la scadenza.

Appunti di studio della squadra blu

Corso completo Splunk SIEM con scenari pratici

Punti salienti

Obiettivi del firewall e dell'evasione IPS/IDS

Esistono diversi scenari in cui potresti trovarti nella necessità di bypassare un IDS esistente come Snort. Dipende da cosa sei o in quale fase della catena del cyber kill durante la tua interazione con il bersaglio. Nel complesso, un IDS/IPS potrebbe rappresentare un problema più comunemente durante:

  • Scansione delle porte
  • Esfiltrazione dei dati
  • Primo punto d'appoggio (guscio)

Firewall ed evasione IPS/IDS Metodi

  1. Evasione tramite manipolazione del protocollo
  2. Evasione tramite manipolazione del carico utile
  3. Evasione tramite manipolazione del percorso
  4. Evasione tramite Denial of Service tattico (DoS)

Nmap analizza i metodi per eludere il rilevamento del firewall

  • Scansione FIN contro firewall stateless
  • Modifica della porta di origine utilizzando -g opzione
 nmap -sU -Pn -g 53 -F 10.10.10.1
  • Utilizzo delle scansioni IPv6
  • Frammentazione utilizzando –opzione f
nmap -f 10.10.10.1
# il pacchetto viene suddiviso in 3 frammenti
 nmap --mtu 24 10.10.10.1
# MTU deve essere un multiplo di 8
  • Scansioni proxy
nmap -sS HTTP://PROXY_HOST1:8080,SOCKS4://PROXY_HOST2:4153
10.10.10.1

In questo modo, farai passare la scansione attraverso il proxy HTTP host1, quindi il proxy host2 SOCKS4, prima di raggiungere il tuo obiettivo.

  • Spoofing degli indirizzi Mac
nmap --spoof-macCisco 10.10.10.1
 # Spoofing degli indirizzi MAC Cisco
  • Ritardo scansione utilizzando l'opzione –ritardo-scansione SM
  • Scansioni degli zombi
nmap -sI 10.10.10.5 10.10.10.1
 # Qui eseguiamo la scansione come se avesse origine da 10.10.10.5
  • Un'alternativa alla scansione Zombie è la scansione Decoy utilizzando l'opzione -D o utilizzando la scansione proxy

Videoprocedura dettagliata

,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli