Evasão de firewall com Nmap

Prévia do material em texto

Evasão de firewall com Nmap
Firewalls e sistemas de detecção de intrusão são projetados para evitar que 
ferramentas como o Nmap obtenha informações precisas sobre a rede em 
proteção. O Nmap possui bastante recursos que permite contornar essas 
defesas. Irei apresentar algumas técnicas de evasão fornecidas por essa 
poderosa ferrameta.
- Pacotes de fragmento (-f)
- MTU específica (--mtu)
- Usando iscas (-D)
- Idle Zombie (-sI)
- Informando porta de origem (--source-port)
- Anexando dados aleatórios (--data-length)
- Ordem aleatória de varredura dos alvos (--randomize-hosts)
- Spoof de endereço MAC (--spoof-mac)
- Enviando checksums incorretos (--badsum)
Pacotes de fragmento
A opção -f é usada para fragmentar sondas em pacotes de 8 bytes:
Sintaxe: # nmap -f [alvo]
A opção -f faz o Nmap a enviar pequenos pacotes de 8 bytes, fragmentando a 
sonda em muitos pacotes bem pequenos. Essa opção não é útil em situações 
cotidianas, logo sua duração de scanning é lenta. Ela pode ser útil ao tentar 
evitar alguns firewalls antigos ou configurados incorretamente. 
Alguns sistemas operacionais podem requerer o uso de --send-eth combinado 
com -f para que pacotes fragmentados sejam transmitidos adequadamente.
MTU específica
A opção --mtu é usada para especificar uma MTU (Maximum Transmission 
Unit) personalizada:
Sintaxe: # nmap --mtu 16 [alvo]
A opção --mtu é semelhante à opção -f vista anteriormente, exceto por permitir
que você especifique sua própria MTU a ser usada durante a varredura. Isso cria 
pacotes fragmentados que podem potencialmente confundir alguns firewalls. 
No exemplo acima, o argumento --mtu 16 faz o Nmap usar pequenos pacotes 
de 16 bytes para a varredura. O MTU deve ser um múltiplo de 8, por exemplo 8, 
16, 24, 32, etc.
Alguns sistemas operacionais podem requerer o uso de --send-eth combinado 
com --mtu para que pacotes fragmentados sejam transmitidos 
adequadamente.
Usando iscas
A opção -D é usada para mascarar uma varredura do Nmap usando um ou mais 
iscas.
Sintaxe: # nmap -D [isca1, isca2, etc ou RND:número] [alvo]
A opção RND:10, por exemplo, utiliza 10 iscas (IPs) aleatórias, mas você 
também pode informar iscas específicas. Ao executar uma varredura de 
utilizando iscas (Decoy), o Nmap irá falsificar pacotes adicionais do número 
especificado de endereços IP de isca. Isso efetivamente faz parecer que o alvo 
está sendo escaneado por vários sistemas simultaneamente. O uso de isca 
(Decoy) permite que a fonte real da varredura “se misture à multidão”, o que 
dificulta o rastreamento de onde a varredura está sendo feita.
O uso de muitas iscas pode causar congestionamento na rede e reduzir a 
eficácia de uma varredura. Além disso, alguns provedores de Internet podem 
filtrar o tráfego falsificado, o que reduzirá a eficácia do uso de iscas para 
encobrir sua atividade de verificação.
Idle Zombie Scan
A opção -sI é usada para executar uma varredura Idle Zombie.
Sintaxe: # nmap -sI [host zombie] [alvo]
A varredura zumbi ociosa é uma técnica de varredura exclusiva que permite 
explorar um sistema ocioso e usá-lo para varrer um sistema de destino para 
você. Neste exemplo, 192.168.0.120 é o zumbi e 192.168.0.121 é o sistema alvo. 
A varredura funciona explorando a geração previsível de ID de sequência IP 
empregada por alguns sistemas. Para que uma varredura ociosa seja bem-
sucedida, o sistema zombie deve estar realmente ocioso no momento da 
varredura.
Com esta varredura, nenhum pacote de teste é enviado de seu sistema para o 
alvo. Observe que o Nmap envia por padrão um pacote de ping inicial no alvo, a 
menos que você combine a opção -PN com -sI, isso não ocorrerá.
Mais informações sobre a varredura Idle Zombie pode ser encontrada no site do
Nmap: www.nmap.org/book/idlescan.html
Informando porta de origem
A opção --source-port é usada para especificar manualmente o número da 
porta de origem de uma sonda.
http://www.nmap.org/book/idlescan.html
Sintaxe: # nmap --source-port [porta] [alvo]
Cada segmento TCP contém um número de porta de origem além de um 
destino. Por padrão, o Nmap irá escolher aleatoriamente uma porta de origem 
de saída disponível para sondar um alvo. A opção --source-port forçará o Nmap
a usar a porta especificada como fonte para todos os pacotes. Essa técnica pode
ser usada para explorar pontos fracos em firewalls que estão configurados 
incorretamente para aceitar cegamente o tráfego de entrada com base em um 
número de porta específico. A porta 20 (FTP), a porta 53 (DNS) e 67 (DHCP) são
portas comuns suscetíveis a esse tipo de varredura. A opção -g é um atalho da 
opção --source-port.
Anexando dados aleatórios
A opção --data-length pode ser usada para acrescentar dados aleatórios para 
sondar pacotes.
Sintaxe: # nmap --data-length 25 192.168.0.1
O Nmap transmite pacotes que geralmente são de tamanho específico. Alguns 
fornecedores de firewall sabem procurar por esse tipo de tamanho de pacote 
previsível. A opção --data-length adiciona a quantidade especificada de dados 
adicionais as sondas em um esforço para contornar esses tipos de verificações. 
No exemplo acima 25 bytes adicionais são adicionados a todos os pacotes 
enviados ao destino.
Ordem aleatória de varredura dos alvos
A opção --randomize-hosts é usada para randomizar a ordem de varredura dos 
destinos especificados.
Sintaxe: # nmap --randomize-hosts 192.168.0.100-254
A opção --randomize-hosts ajuda a impedir que as varreduras de vários 
destinos sejam detectadas por firewalls e sistemas de detecção de intrusões. 
Isso é feito escaneando em uma ordem aleatória em vez de sequencial.
Spoof de endereço MAC 
O --spoof-mac é usado para falsificar o endereço MAC (Media Access Control) 
de um dispositivo ethernet.
Sintaxe: # nmap -sT -PN --spoof-mac 0 192.168.0.1
Neste exemplo, o Nmap vai forjar um endereço MAC com 3Com gerado 
aleatoriamente. Isso dificulta a rastreabilidade da sua atividade de 
rastreamento, impedindo que seu endereço MAC seja registrado no sistema 
alvo.
A opção --spoof-mac pode ser usada pelos seguintes parâmetros:
- 0 (zero) : Gera um endereço MAC aleatório.
- Endereço específico : Permite especificar um endereço como argumento.
- Nome de fornecedor : Gera um endereço MAC do fornecedor especificado 
(como Apple, Dell, 3Com, etc).
Enviando checksums incorretos
A opção --badsum é usada para enviar pacotes com somas de verificação 
(checksum) incorretas para o host especificado.
Sintaxe: # nmap --badsum 192.168.0.100
O protocolo TCP/IP usa somas de verificação (checksum) para garantir a 
integridade dos dados. A criação de pacotes com checksums incorretos pode, 
em algumas raras ocasiões, produzir uma resposta de um sistema mal 
configurado. Este é um resultado típico ao usar a opção –badsum.
Apenas um sistema mal configurado responderia a um pacote com uma soma 
de verificação inválida. No entanto, é uma boa ferramenta para usar ao auditar a
segurança da rede ou ao tentar evitar os firewalls.
Default Hacker Club – Ryoon Ivo
https://github.com/Cyberpunkrs/zine
	Pacotes de fragmento
	MTU específica