1、碎片化
Nmap發送8個字節的數據包繞過防火牆/IDS/IPS。這種技術已經很古老了,但是在防火牆配置不當的時候依舊有用。
Nmap -f host
MTU,最大傳輸單元,它是碎片化的別名,我們可以指定它的大小。
Nmap --mtu 66 host
上面的Nmap掃描使用16字節的數據包而不是8個字節。所以我們可以指定自定義數據包大小爲8的倍數。
2、誘餌
這種類型的掃描是非常隱蔽且無法察覺。目標由多個假冒或僞造IP地址進行掃描。這樣防火牆就會認爲***或掃描是通過多個資源或IP地址進行,於是就繞過了防火牆。
誘餌在初始的ping掃描(使用ICMP,SYN,ACK等)使用,在實際的端口掃描階段使用。誘餌在遠程操作系統檢測(-O)期間也使用。誘餌不在版本檢測工作或TCP連接掃描中使用。
這實際上在目標看來是由多個系統同時掃描,這使得防火牆更難追查掃描的來源。
有兩種方式來執行誘餌掃描:
1.nmap –D RND:10 TARGET
2.nmap –D decoy1,decoy2,decoy3(誘餌主機) target
以下網絡抓包顯示多個誘餌將欺騙防火牆。
3、空閒掃描
***者將首先利用一個空閒的系統並用它來掃描目標系統。
掃描的工作原理是利用某些系統中採用可預見的IP序列ID生成。爲了使空閒掃描成功,殭屍主機的系統必須是在掃描時間處於閒置狀態。對於任何疑問,請參考之前的文章。
在這種技術中會隱藏***者的IP地址。
Nmap –P0 -sI zombie(殭屍) target
我們使用tcpdump來捕獲所有網絡流量。
Tcpdump -i interface
4、選項–source-port
每個TCP數據包帶有源端口號。默認情況下Nmap會隨機選擇一個可用的傳出源端口來探測目標。該–source-port選項將強制Nmap使用指定的端口作爲源端口。這種技術是利用了盲目地接受基於特定端口號的傳入流量的防火牆的弱點。端口21(FTP),端口53(DNS)和67(DHCP)是這種掃描類型的常見端口。
Nmap --source-port port target
5、隨機數據長度:
附加隨機數據長度,我們也可以繞過防火牆。許多防火牆通過檢查數據包的大小來識別潛伏中的端口掃描。這是因爲許多掃描器會發送具有特定大小的數據包。爲了躲避那種檢測,我們可以使用命令–data-length增加額外的數據,以便與默認大小不同。在下圖中,我們通過加入25多個字節改變數據包大小。
nmap --data-length target
捕獲數據流量
6、隨機順序掃描目標:
選項–randomize-host用於隨機 順序掃描指定目標。–randomize-host有助於防止因連續 掃描多個目標而防火牆和***檢測系統檢測到。
nmap --randomize-hosts targets
7、MAC地址欺騙:
每臺機器都有自己獨特的mac地址。因此這也是繞過防火牆的另一種方法,因爲某些防火牆是基於MAC地址啓用規則的。爲了獲得掃描結果,您需要先了解哪些MAC地址可以使用。這可以通過手動或先進的模糊測試完成。我更喜歡模糊測試,用Python實現非常容易。我們只需要手工導入正則表達式到Python中,然後自動化執行。
特別是–spoof-MAC選項使您能夠從一個特定的供應商選擇一個MAC地址,選擇一個隨機的MAC地址,或者設定您所選擇的特定MAC地址。 MAC地址欺騙的另一個優點是,你讓你的掃描隱蔽,因爲你的實際MAC地址就不會出現在防火牆的日誌文件。
nmap -sT -PN –spoof-mac aa:bb:cc:dd:ee:ff target
8、發送錯誤校驗
在某些防火牆和IDS / IPS,只會檢查有正確校驗包的數據包。因此,***者通過發送錯誤校驗欺騙IDS / IPS。
nmap --badsum target
9、Sun-RPC 掃描
什麼是Sun RPC?Sun RPC(遠程過程調用)是一種Unix協議,用來實現多種服務比如NFS。最初由Sun開發,但現在廣泛使用在其他平臺上(包括Digital Unix的)。也被稱爲開放式網絡計算(ONC)。
Sun RPC包帶有一個RPC編譯器,自動生成服務端和客戶端的存根。
nmap帶有將近600個RPC程序的數據庫。許多RPC服務使用高端口編號或者使用UDP協議,RPC程序還有嚴重的遠程利用漏洞。所以網絡管理員和安全審計人員往往希望瞭解更多在他們的網絡內有關任何RPC程序。
我們可以通過以下命令獲得RPC 的詳細信息:
rpcinfo/rpcinfo --p hostname
nmap通過以下三個步驟跟開放的RPC端口直接通信,然後獲取信息。
1)使用TCP或者UDP掃描開放的端口。
2)-sV選項檢查使用Sun RPC協議的開放端口。
3)RPC暴力破解引擎會逐一向nmap-rpc數據庫中記錄的端口發送空命令,來判斷RPC程序。當nmap猜測錯誤,會收到一條錯誤消息,指出請求的端口並沒有運行PRC程序。當nmap耗盡了所有已知的記錄,或者端口返回了非RPC的數據包,nmap纔會放棄。
SSL後處理器掃描
NMAP具有檢測SSL加密協議的能力,進行版本檢測時會自動啓用這個功能。正如先前討論的RPC掃描,只要檢測一個適當的(SSL)端口自動執行將SSL後處理器掃描。
命令:
nmap -Pn -sSV -T4 –F target
轉載自http://www.2cto.com/article/201604/498533.html