Nmap- Một vài công nghệ cho phép tránh sự phát hiện Firewall trong quá trình scan

Nmap cung cấp cho chúng ta rất nhiều tùy chọn cho việc tránh sự phát hiện của tường lửa.

Fragment Packets

Công nghệ này các hiệu quả trong trong những ngày đầu, tuy nhiên bạn vẫn có thể sử dụng nó nếu như bạn tìm thấy một tường lửa không được cấu hình phù hợp. Nmap cung cấp khả năng này để fragment các gói tin trong quá trình scanning với tùy chọn -fdo đó bạn có thể vượt qua sự kiểm soát các gói tin đáng ngờ của tường lửa.

Trong hình dưới đây, bạn có thể nhìn thấy Nmap đang gửi gói tin có kích cỡ 8 bytes khi bạn thực hiện scan với tùy chọn –f

Specify a specific MTU

Nmap cung cấp tùy chọn này tới người sử dụng để cài đặt một MTU (Maximum Transmission Unit) xác định tới gói tin. Nó là tương tự như công nghệ packet fragmentation mà đã diễn tả ở trên. Trong quá trình scan, nmap sẽ tạo ra các gói tin với kích cỡ dựa trên số mà bạn cài đặt. Trong ví dụ này, mình sẽ cài đặt tham số sau tùy chọn -mtulà 24, lúc này nmap sẽ tạo ra gói tin với kích cỡ là 24 bytes gây ra một sự nhầm lẫn đối với tường lửa. Bạn có thể sử dụng tùy chọn -mtuvới lệnh: -mtu number target

Use Decoy addresses

Trong công nghệ này, bạn có thể đưa Nmap để giả mạo các gói tin từ máy khác. Trong files log của tường lửa, không chỉ có một địa chỉ IP mà còn có rất nhiều địa chỉ IP giả mạo, do đó tưởng lửa rất khó để xác định IP nào đến từ máy đang scan để block. Có hai tùy chọn mà bạn có thể sử dụng trong công nghệ này:

+ nmap -D RND:10 target -nmap sẽ đưa ra một số lượng IP giả mạo ngẫu nhiên

+ namp -D decoy1,decoy2,decoy3... -bạn sẽ cài đặt một số lượng địa chỉ IP xác định

Trong hình dưới đây, bạn có thể nhìn thấy trong file log của tường lửa tồn tại 3 địa chỉ IP khác nhau, chỉ có một địa chỉ IP là thực còn lại là các IP giả mạo.

Bạn cần nhớ rằng, máy mà bạn sẽ sử dụng như một sự giả mạo phải đang trực tuyến để công nghệ này làm việc. Nếu sử dụng quá nhiều sự giả mạo có thể gây ra quá tải cho mạng.

Idle Zombie scan

Công nghệ này cho phép bạn sử dụng máy khách trên mạng mà nó đang không làm việc "idle" để thực hiện scan. Lợi thế của công nghệ này là nó rất kín đáo bởi vì file log của tường lửa sẽ ghi địa chỉ IP của Zombie. Tuy nhiên, để có một kết quả thuận lợi bạn phải tìm được nhiều máy mà nó đang không làm việc trên mạng.

Metasploit framework có tùy chọn scan mà có thể giúp bạn khám phá các máy mà nó đang không làm việc trên mạng và nó có thể được sử dụng trong khi thực hiện loại scan này.

Như bạn có thể thấy ở hình trên, việc scan đã khám phá ra hai IP 192.168.1.67 và 192.168.1.69 đang không làm việc trên mạng, và đó là cơ hội để bạn thực hiện công nghệ quét này. Để thực hiện một Idle Zombie scan bạn sử dụng lệnh nmap -sl Zombie IP target IP

Bạn có thể thấy hiệu quả của việc thực hiện công nghệ này bằng cách kiểm tra file log của tường lửa. Như bạn có thể thấy file log ghi lại địa chỉ IP của máy Zombie (SRC = 192.168.1.69) mà không phải địa chỉ IP thực của chúng ta đang thực hiện scan.

Source port number specification

Một lỗi phổ biến mà khá nhiều người quản trị đang làm khi cấu hình tường lửa đó là cài đặt một cấu hình nào đó mà nó cho phép các lưu lượng tới từ một số cổng xác định. Tùy chọn -source-portcủa Nmap có thể được sử dụng để khai thác việc cấu hình sai này. Các cổng phổ biến mà bạn có thể sử dụng cho công nghệ này là 20,53 và 67.

Append Random Data

Nhiều tường lửa đang thực hiện việc kiểm tra các gói tin bằng việc xem xét kích cỡ của gói tin để xác định việc quét cổng tiềm ẩn. Đó là bởi vì rất nhiều công cụ scan đang gửi các gói tin có kích cỡ xác định. Để tránh khỏi điều sự phát hiện tường lửa, bạn có thể sử dụng lệnh -data-lengthđể thêm dữ liệu và gửi các gói tin với nhiều kích cỡ khác nhau so với kích cỡ mặc định của các gói tin. Trong hình dưới đây, bạn có thể thay đổi kích cỡ của gói tin bằng cách thêm 25 bytes vào chúng.

Kích cỡ của các gói tin mà Nmap gửi tới mục tiêu là 58 bytes như bạn có thể nhìn thấy trong hình dưới đây.

Với lệnh -data-length 25bạn có thể thay đổi giá trị tới 83 để tránh xa sự phát hiện của tường lửa.

Scan with Random Order

Trong công nghệ này, bạn có thể quét một số lượng máy ngẫu nhiên. Lệnh mà bạn sử dụng trong trường hợp này là -randomize-hosts.Công nghệ này được kết hợp với tùy chọn làm chậm thời gian (slow timing) có thể hiệu quả khi bạn không muốn bị cảnh báo bởi tường lửa.

MAC Address Spoofing

Công nghệ này khác hiệu quả đặc biệt nếu có cấu hình lọc địa chỉ MAC bởi người quản trị để cho phép chỉ lưu lượng mạng tới từ địa chỉ MAC được cho phép. Do đó, bạn cần phải xác định được địa chỉ MAC nào bạn cần để cài đặt sẽ mang lại kết quả.

Tùy chọn -spoof-maccó khả năng chọn một địa chỉ MAC từ một nhà sản xuất xác định, để ngọn một địa chỉ MAC ngẫu nhiên hoặc cài đặt một địa chỉ MAC xác định nào đó mà bạn chọn. Lợi thế của công nghệ này là nó làm cho quá trình quét của bạn khó bị phát hiện hơn bởi địa chỉ MAC thực của bạn sẽ không xuất hiện trong file log của tường lửa.

Send Bad Checksums

Checksums được sử dụng bởi giao thức TCP/IP để đảm báo tính toàn vẹn của dữ liệu. Tuy nhiên việc gửi các gói tin với checksums không đúng có thể giúp bạn khám phá thông tin từ hệ thống mà nó không được cấu hình phù hợp hoặc để tránh sự phát hiện của tường lửa.

Bạn sử dụng lệnh nmap -badsum IPđể gửi các gói tin với checksums xấu tới mục tiêu của bạn. Hình dưới đây, bạn không nhận được bất kỳ kết quả nào. Nó có nghĩa rằng hệ thông đã được cấu hình phù hợp.