La gente de securebits desarrolló una interesante idea para realizar un escaneo de puertos pero spoofeando la dirección IP de Origen.
Como se imaginarán, no es posible escanear puertos con la IP de Origen falsa ya que no nos llegarían las respuestas. Nmap tiene la posibilidad de utilizar Decoys, en donde envía los paquetes con las IP de Origen falsas, pero con el único propósito de generar mucho ruido para que el verdadero escaneo pase desapercibido frente a un IDS/IPS.
En principio, esta "nueva" técnica funcionaría solo en una red LAN, ya que antes de hacer el escaneo de puertos habría que realizar un ARP Poisoning. Básicamente le decimos a nuestra víctima que las direcciones IP falsas tienen la dirección MAC del atacante, entonces cuando la víctima envíe las respuestas de los escaneos falsos igualmente terminarán llegando al atacante.
Todo esto lo podemos hacer muy fácilmente usando Decoys con Nmap y cualquier herramienta de ARP Poisoning, pero también podríamos usar la nueva herramienta que esta gente desarrollo, y por supuesto leer el whitepaper que escribieron al respecto. No se puede decir que no le ponen ganas :P
Saludos al amigo Julio Cesar Fort que me hizo llegar esta noticia.
Fuente: Reliable Spoofed Source-IP Port Scanning
Como se imaginarán, no es posible escanear puertos con la IP de Origen falsa ya que no nos llegarían las respuestas. Nmap tiene la posibilidad de utilizar Decoys, en donde envía los paquetes con las IP de Origen falsas, pero con el único propósito de generar mucho ruido para que el verdadero escaneo pase desapercibido frente a un IDS/IPS.
En principio, esta "nueva" técnica funcionaría solo en una red LAN, ya que antes de hacer el escaneo de puertos habría que realizar un ARP Poisoning. Básicamente le decimos a nuestra víctima que las direcciones IP falsas tienen la dirección MAC del atacante, entonces cuando la víctima envíe las respuestas de los escaneos falsos igualmente terminarán llegando al atacante.
Todo esto lo podemos hacer muy fácilmente usando Decoys con Nmap y cualquier herramienta de ARP Poisoning, pero también podríamos usar la nueva herramienta que esta gente desarrollo, y por supuesto leer el whitepaper que escribieron al respecto. No se puede decir que no le ponen ganas :P
Saludos al amigo Julio Cesar Fort que me hizo llegar esta noticia.
Fuente: Reliable Spoofed Source-IP Port Scanning
3 comentarios:
Bastante interesante, pero leyendo el paper mencionan que hay la necesidad de realizar un ARP Poisoning y obviamente solo en una red LAN, aun asi dentro del README de la propia tool no veo ejemplos claros o si simplemente ejecutando la tool realizara incluira el dichoso ARP Poisoning, Leonardo si habeis trasteado un poco con esta tool seria interesante nos enviarlas algunos ejemplos
javi
Tambien podes hacer un idle scan con nmap
APX
javi, el paper dice que la tool se encarga de hacer el poisoning, y es bastante logico considerando que tenes que hacer un poisoning por cada port que quieras scanear.
Publicar un comentario