Abbiamo trattato diversi tipi di scansioni Nmap che possono essere utilizzate per eludere il rilevamento di Firewall e IDS. Abbiamo discusso della frammentazione dei pacchetti, della scansione esca, della scansione invisibile e delle scansioni proxy. Abbiamo utilizzato fonti pubbliche per eseguire la scadenza.
Appunti di studio della squadra blu
Corso completo Splunk SIEM con scenari pratici
Punti salienti
Obiettivi del firewall e dell'evasione IPS/IDS
Esistono diversi scenari in cui potresti trovarti nella necessità di bypassare un IDS esistente come Snort. Dipende da cosa sei o in quale fase della catena del cyber kill durante la tua interazione con il bersaglio. Nel complesso, un IDS/IPS potrebbe rappresentare un problema più comunemente durante:
- Scansione delle porte
- Esfiltrazione dei dati
- Primo punto d'appoggio (guscio)
Firewall ed evasione IPS/IDS Metodi
- Evasione tramite manipolazione del protocollo
- Evasione tramite manipolazione del carico utile
- Evasione tramite manipolazione del percorso
- Evasione tramite Denial of Service tattico (DoS)
Nmap analizza i metodi per eludere il rilevamento del firewall
- Scansione FIN contro firewall stateless
- Modifica della porta di origine utilizzando -g opzione
nmap -sU -Pn -g 53 -F 10.10.10.1
- Utilizzo delle scansioni IPv6
- Frammentazione utilizzando –opzione f
nmap -f 10.10.10.1
# il pacchetto viene suddiviso in 3 frammenti
nmap --mtu 24 10.10.10.1
# MTU deve essere un multiplo di 8
- Scansioni proxy
nmap -sS HTTP://PROXY_HOST1:8080,SOCKS4://PROXY_HOST2:4153
10.10.10.1
In questo modo, farai passare la scansione attraverso il proxy HTTP host1, quindi il proxy host2 SOCKS4, prima di raggiungere il tuo obiettivo.
- Spoofing degli indirizzi Mac
nmap --spoof-macCisco 10.10.10.1
# Spoofing degli indirizzi MAC Cisco
- Ritardo scansione utilizzando l'opzione –ritardo-scansione SM
- Scansioni degli zombi
nmap -sI 10.10.10.5 10.10.10.1
# Qui eseguiamo la scansione come se avesse origine da 10.10.10.5
- Un'alternativa alla scansione Zombie è la scansione Decoy utilizzando l'opzione -D o utilizzando la scansione proxy
Videoprocedura dettagliata