martes, 16 de agosto de 2016

Escaneando de forma paranoica


Hola a todos. En esta breve entrada me gustaría mostrarles una forma de escanear con Nmap de modo que nos asegure cierto anonimato y que no salten las alarmas (que no seamos detectados por algún firewall o IDS).  Veremos algunas opciones de Nmap que nos ayudarán a realizar maniobras evasivas y de confusión para el objetivo.

Entre estas acciones están:

Spoofear nuestra MAC: Modificar nuestra MAC (no necesita más aclaración)

Utilizar señuelos: Al utilizar esta opción, podemos realizar escaneos en paralelo con el nuestro, asignando direcciones IP falsas para que se mezclen con la nuestra.

Fragmentación de paquetes: Utilizada para engañar a algunos IDS, enviando pequeños paquetes.

No resolver DNS: Las consultas DNS, frecuentemente quedan registradas, con lo cual podemos utilizar esta opción para evitar dejar nuestra IP por ahí.

Reducir la frecuencia de envío de paquetes: Otra opción que nos ayuda a bajar la probabilidad de detección por parte de nuestro objetivo. Si enviamos los paquetes con la menor frecuencia posible será más difícil que nuestro escaneo sea detectado.

Las opciones que se pueden utilizar son las siguientes:

--spoof-mac: Nos permite falsear nuestra dirección MAC. Debemos agregar algún parámetro luego de esta opción. Si colocamos un 0, generará y usará una MAC aleatoria. Tenemos otros parámetros, como por ejemplo agregar la palabra "Cisco", creará y utilizará una MAC correspondiente a un producto Cisco.

-T: Con esta opción, acompañada del valor 0 (paranoid) indicamos que envíe los paquetes con la menor frecuencia posible.

-Pn: Con esta opción no se realiza un ping al equipo objetivo.

-f: Con esta opción fragmentaremos las cabeceras TCP.

-D: Creamos los señuelos. Esta opción debe ir seguida de las direcciones IP que aparecerán en el objetivo como origen del escaneo.

-n: Indicamos que no resuelva DNS

--random-hosts: Aleatoriza el orden de escaneo de los hosts indicados.

Lanzando nuestro escaneo paranoide

A continuación, veremos como queda nuestro escaneo utilizando las opciones antes vistas:

nmap --spoof-mac Cisco  –T 0 -Pn -f –D IPs_SEÑUELOS -v –n –sS
–sV  –random-hosts HOSTS_A_ESCANEAR

Obviamente este escaneo va a ser un poco lento (quizás sea mejor tener un café preparado) y quizás no sea el mas conveniente si no contamos con mucho tiempo, pero sin lugar a dudas aumenta mucho la probabilidad de no ser detectados por lo que vale la pena tenerlo en cuenta para lanzarlo en ambientes muy controlados y protegidos.

Podemos encontrar mas información en el sitio de Nmap, en la sección correspondiente a evasión de firewalls e IDS:

https://nmap.org/book/man-bypass-firewalls-ids.html

Saludos y...

HAPPY HACKING!!!