tags: IDS_evasion Firewall_evasion nmap scanning_networks Scanning
Come hacker etico professionista o pen tester, il passo successivo dopo aver scoperto il sistema operativo dell’indirizzo IP di destinazione è eseguire la scansione della rete senza essere rilevati dai perimetri di sicurezza della rete come firewall e IDS. IDS e firewall sono meccanismi di sicurezza efficienti; tuttavia, hanno ancora alcune limitazioni di sicurezza. Potresti essere tenuto a lanciare attacchi per sfruttare queste limitazioni utilizzando varie tecniche di evasione IDS/firewall come frammentazione dei pacchetti, routing di origine, spoofing degli indirizzi IP, ecc. La scansione oltre IDS e firewall ti consente di valutare la sicurezza IDS e firewall della rete di destinazione.
Tecniche per eludere IDS / firewall:
- Frammentazione del pacchetto: invia pacchetti di sonde frammentati al bersaglio previsto, che lo riassembla dopo aver ricevuto tutti i frammenti.
- Routing di origine: specifica il percorso di routing per il pacchetto malformato per raggiungere il target previsto.
- Manipolazione della porta di origine: manipolare la porta di origine effettiva con la porta di origine comune per eludere IDS / firewall.
- Decoy indirizzo IP: genera o specifica manualmente gli indirizzi IP delle esche in modo che IDS / firewall non possa determinare l’indirizzo IP effettivo.
- Spoofing dell’indirizzo IP: modifica gli indirizzi IP di origine in modo che l’attacco appaia come qualcun altro.
- Creazione di pacchetti personalizzati: invia pacchetti personalizzati per scansionare il target previsto oltre i firewall.
- Randomizzazione dell’ordine host: scansiona il numero di host nella rete di destinazione in un ordine casuale per scansionare il target previsto che si trova oltre il firewall.
- Invio di checksum errati: inviare i pacchetti con checksum TCP / UDP difettosi o falsi al target previsto.
- Server proxy: utilizzare una catena di server proxy per nascondere l’effettiva fonte di una scansione ed eludere alcune restrizioni IDS / firewall.
- Anonimi: utilizzare anonimi che consentano loro di aggirare i censori di Internet ed eludere determinate regole IDS e firewall.
Nmap
Frammentazione
La frammentazione del pacchetto si riferisce alla suddivisione di un pacchetto sonda in più pacchetti più piccoli (frammenti) durante l’invio a una rete. Quando questi pacchetti raggiungono un host, gli IDS e i firewall dietro l’host generalmente li mettono in coda e li elaborano uno per uno. Tuttavia, poiché questo metodo di elaborazione comporta un maggiore consumo di CPU e risorse di rete, la configurazione della maggior parte degli IDS consente di saltare i pacchetti frammentati durante le scansioni delle porte.
Il comando è il seguente:
sudo nmap -f <Indirizzo IP>Scansione Senza Ping
Nmap di default ha un’impostazione che effettua un ping alla porta del target e se la porta risponde effettua la scansione se la porta non risponde non effettua la scansione, il parametro -Pn (Ping No) permette di eliminare questa impostazione ed effettuare la scansione sulla porta o sulle porte senza pingare la macchina, questo ci può aiutare nell’evadere i firewall per esempio di Windows e riuscire comunque ad effettuare la scansione, gli svantaggi sono la lentezza perchè ci impiega più tempo dato che effettua la scansione su tutte le porte e la quantità di rumore generata.
nmap -Pn -sV -p- <indirizzo IP>Manipolazione porta
Questo comando permette di far credere al firewall che le nostre richieste di scansione provengano da porte conosciute decise da noi, quindi se per esempio si immette la porta 80 il firewall crederà che le richieste vengano da un servizio che opera sulla porta 80:
sudo nmap -g 80 <Indirizzo IP>oppure:
sudo nmap --source-port 80 <indirizzo IP>MTU
Utilizzando MTU, vengono trasmessi pacchetti più piccoli invece di inviare un pacchetto completo alla volta. Questa tecnica elude il meccanismo di filtraggio e rilevamento abilitato nella macchina bersaglio:
sudo nmap -mtu 8 <Indirizzo IP>In questo comando, -mtu: specifica il numero di unità di trasmissione massima (MTU) (qui, 8 byte di pacchetti).
Decoy
La tecnica dell’esca dell’indirizzo IP si riferisce alla generazione o alla specifica manuale degli indirizzi IP delle esche per eludere IDS / firewall. Questa tecnica rende difficile per IDS / firewall determinare quale indirizzo IP stava effettivamente scansionando la rete e quali indirizzi IP erano esche. Utilizzando questo comando, Nmap genera automaticamente un numero casuale di esche per la scansione e posiziona casualmente l’indirizzo IP reale tra gli indirizzi IP dell’esca.
sudo nmap -D RND:10 <Indirizzo IP>
sudo nmap -D esca1,esca2,esca,3,... <Indirizzo IP>In questo comando, -D: esegue una scansione esca e RND: genera indirizzi IP casuali e non riservati (qui, 10), è possibile anche immettere indirizzi IP esche a nostro piacere.
Spoof Mac
La tecnica di spoofing dell’indirizzo MAC prevede lo spoofing di un indirizzo MAC con l’indirizzo MAC di un utente legittimo sulla rete. Questa tecnica consente di inviare pacchetti di richieste alla macchina / rete target fingendo di essere un host legittimo.
sudo nmap -sT -Pn --spoof-mac 0 <Indirizzo IP>
sudo nmap -sT -Pn --spoof-mac [new MAC] <indirizzo IP>In questo comando —spoof-mac 0 rappresenta la randomizzazione dell’indirizzo MAC, -sT: esegue la connessione TCP / scansione completamente aperta, -Pn viene utilizzato per saltare il rilevamento host.