O Nmap ("Network Mapper") é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Neste texto apresento algumas técnicas de evasão para mecanismos de defesa e monitoramento de rede disponíveis no Nmap.
O que é um Firewall?
Um firewall é um software ou hardware usado para proteger a rede privada da rede pública. Se os hackers fizerem uma varredura na rede, esses métodos serão descartados pelo firewall.
Opções do Nmap para ignorar o firewall:
f (fragmentar pacotes) - O propósito desta opção é tornar a detecção de pacotes mais difícil. Com esta opção, o Nmap dividirá o pacote em 8 bytes ou menos após o cabeçalho IP.
- Comando:
- nmap -f 10.122.87.3
-mtu - Com esta opção, você pode especificar sua própria fragmentação de tamanho de pacote. A unidade máxima de transmissão (MTU) deve ser um múltiplo de oito ou o Nmap dará um erro.
- Comando
- nmap -mtu 16 10.122.87.3
-D (chamariz) - Usando esta opção, o Nmap enviará algumas das sondagens dos endereços IP falsos especificados pelo usuário. A ideia é mascarar o endereço IP real do usuário nos arquivos de log. Você pode usar RND para gerar um endereço IP aleatório ou RND:number para gerar o endereço IP <number>. Os hosts que você usa para chamarizes devem estar ativos, caso contrário, você inundará o alvo. Lembre-se também de que o uso de muitos chamarizes pode causar congestionamento na rede.
- Comando:
- nmap -D RND:10 10.122.87.3
-source-port <portnumber > ou -g (spoof source port) - Esta opção será útil se o firewall estiver configurado para permitir todo o tráfego de entrada proveniente de uma porta específica.
- Comando:
- nmap -p 80 -source-port 12345 10.122.87.3
-data-length - Esta opção é usada para alterar o tamanho padrão dos dados enviados pelo Nmap para evitar que sejam detectados como varreduras do Nmap.
- Comando
- nmap -d 10.122.87.3
--max-parallelism - Esta opção geralmente é definida como um para instruir o Nmap a enviar não mais do que uma sonda por vez para o host de destino.
- Comando:
- nmap --max-parallelism 10 -p 80,443 10.122.87.3/24
--scan-delay <tempo> - Esta opção pode ser usada para evitar o IDS/IPS que usa um limite para detectar atividade de varredura de porta.
- Comando:
- nmap --scan-delay 1000 -p 80,443 10.122.87.3
A busca pelo conhecimento é uma jornada contínua e enriquecedora. Ao absorver as informações aqui apresentadas, você está fortalecendo sua compreensão sobre o assunto e adquirindo ferramentas para enfrentar os desafios que possam surgir.
Lembre-se sempre de que o aprendizado é um processo constante, e cada nova descoberta é um passo em direção a um entendimento mais profundo do mundo que nos cerca. Portanto, continue explorando, questionando e expandindo seus horizontes, pois cada momento investido na busca do conhecimento contribui para o crescimento pessoal e coletivo. Que suas futuras explorações sejam tão gratificantes quanto esta leitura!
Isenção de Responsabilidade:
A informação fornecida neste artigo tem a intenção de oferecer insights sobre segurança da informação, mas não substitui orientação profissional. Não nos responsabilizamos por qualquer ação tomada com base nessas informações. Lembre-se sempre de usar ferramentas de varredura de rede com responsabilidade e dentro dos limites da ética e das políticas de segurança.