{"id":755,"date":"2015-01-18T19:03:32","date_gmt":"2015-01-18T18:03:32","guid":{"rendered":"http:\/\/under12oot.noblogs.org\/?p=755"},"modified":"2015-01-18T19:19:00","modified_gmt":"2015-01-18T18:19:00","slug":"nmap-idle-scan","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=755","title":{"rendered":"Nmap Idle scan"},"content":{"rendered":"

Ho aggiunto una nuova categoria al blog, si chiama promemoria<\/em>; mi \u00e8 sembrato giusto<\/em> visto che capita spesso che si scrivano articoli<\/em> dove l’obiettivo \u00e8 appunto quello di scrivere un promemoria<\/em> per non dimenticarsi quello che si \u00e8 appena fatto, magari per il semplice fatto<\/em> che l’operazione appena svolta non la si fa molto spesso<\/em> e che quindi con buona probabilit\u00e0<\/em> la si dimenticherebbe nel giro di qualche giorno (se non ora<\/em> \ud83d\ude09 ) .\"nmap<\/a><\/p>\n

In questi giorni mi sto divertendo con l’idle scan<\/em> di nmap<\/em>, una feature “antisgamo”<\/em>, nel senso che se fatta bene<\/em> e con i dovuti accorgimenti, ci pu\u00f2 garantire un buon grado di anonimato<\/em>. Nmap ci mette a disposizione parecchie<\/em> opzioni per lo spoofing e l’evasion<\/em>, basta guardare l’help e ci accorgiamo di quanto Fyodor ed il suo team<\/em> abbiano fatto a tal proposito…<\/p>\n

FIREWALL\/IDS EVASION AND SPOOFING:<\/em>
\n\u00a0 -f; –mtu <val>: fragment packets (optionally w\/given MTU)<\/em>
\n\u00a0 -D <decoy1,decoy2[,ME],…>: Cloak a scan with decoys<\/em>
\n\u00a0 -S <IP_Address>: Spoof source address<\/em>
\n\u00a0 -e <iface>: Use specified interface<\/em>
\n\u00a0 -g\/–source-port <portnum>: Use given port number<\/em>
\n\u00a0 –proxies <url1,[url2],…>: Relay connections through HTTP\/SOCKS4 proxies<\/em>
\n\u00a0 –data-length <num>: Append random data to sent packets<\/em>
\n\u00a0 –ip-options <options>: Send packets with specified ip options<\/em>
\n\u00a0 –ttl <val>: Set IP time-to-live field<\/em>
\n\u00a0 –spoof-mac <mac address\/prefix\/vendor name>: Spoof your MAC address<\/em>
\n\u00a0 –badsum: Send packets with a bogus TCP\/UDP\/SCTP checksum<\/em><\/address>\n

 <\/p>\n

L’dle scan, conosciuto anche come zombie scan<\/em>, \u00e8 in realt\u00e0 un tecnica di scansionamento<\/em> e non di evasione…Ma facciamo un ripassino<\/em>, perch\u00e8 per poter utilizzare questa tecnica dobbiamo aver studiato un pochetto il funzionamento del protocollo IP<\/em>, conoscere le flag<\/em> degli Header (“mannaia che paroloni! sembra quasi che sappia quello che sto dicendo vero?!?!) <\/em>e sapere che l’IP implementa<\/em> un Fragmentation ID Header ( ID di frammentazione), e per di pi\u00f9<\/em> alcuni sistemi operativi incrementano il valore di questi ID di una unit\u00e0<\/em> ad ogni pacchetto. Controllando i valori del Fragmentation ID<\/span><\/em> del nostro zombie possiamo determinare se la porta del target<\/em> \u00e8 aperta oppure chiusa, infatti il target risponder\u00e0 in modo diverso<\/em> a seconda che le sue porte siano aperte oppure chiuse… Prima di poter scansionare un target dobbiamo avere per\u00f2 2 pre-requisiti<\/em>:<\/p>\n

    \n
  1. il pi\u00f9<\/em> importante \u00e8 ovviamente trovare uno zombie<\/em> adatto al nostro scopo e che quindi abbia il Frag ID incrementale.<\/em><\/li>\n
  2. una volta trovato lo zombie dobbiamo avere la certezza<\/em> che sia inattivo,<\/em> cio\u00e8 che al momento della scansione non stia comunicando<\/em> con altre macchine, altrimenti ci sarebbe impossibile<\/em> determinare se l’ID si incrementa per causa nostra o per altre comunicazioni.<\/li>\n<\/ol>\n

    A questo punto non ci resta che trovare<\/em> uno zombie adatto, sempre utilizzando nmap<\/em> possiamo eseguire un fingerprinting dell’OS<\/em> ed aumentando la verbosit\u00e0<\/em> dell’output possiamo vedere se l’ID \u00e8 “incrementale”,<\/em> il comando da utilizzare, come root,<\/em> sar\u00e0:<\/p>\n