Metody ukrywania faktu skanowania hosta

Jak przeskanować zdalny serwer by jego administrator nie dowiedział się o tym?

Decoy (odwrócenie uwagi)

W tej technice tworzymy dużą ilość pakietów różniących się tylko sfałszowanym adresem źródłowym. Od strony ofiary wygląda to tak, jakby była skanowana przez wiele komputerów. IDSy mogą logować każdy komputer skanujący ale w takim tłumie trudno jest określić który był prawdziwy, no chyba iż użyjemy znanych adresów IP np. Wirtualnej Polski (co czasem też ma sens).

nmap -D 

Fragmentacja pakietów (fragmented packets)

Maksymalna fragmentacja pakietów utrudnia pracę systemów IDS. Filtry pakietów nie mogą stosować swoich regułek, ponieważ nie widzą całych pakietów ale tylko fragmenty. Systemy IDS mogą się przed tym bronić składając je w całość ale to obciąża system czyli obniża jego sprawność.

Narzędzia:

  • Narzędzia Nmap należy użyć z flagą -f

 

Powolne skanowanie (Slow scan)

Metoda ta polega na długim skanowaniu komputera, dzięki czemu automatyczne programy nie skojarzą rozproszonych w czasie pakietów. Narzędzia:

  • Narzędzia Nmap ma wiele opcji do takiego skanowania, bardzo popularna to -T Paranoid skanująca bardzo, bardzo powoli.

Skan rozproszony /skoordynowany (coordinated/distributed scan)

Skan przeprowadzany z wielu komputerów w sieci.

Dodaj komentarz