4. Firewall & IDS Evasion
L'evasione di firewall e IDS Intrusion Detection System con Nmap è una tecnica avanzata utilizzata per eludere i meccanismi di sicurezza di un target. Le opzioni di Nmap permettono di manipolare i pac
L'evasione di firewall e IDS (Intrusion Detection System) con Nmap è una tecnica avanzata utilizzata per eludere i meccanismi di sicurezza di un target. Le opzioni di Nmap permettono di manipolare i pacchetti per evitare rilevamenti e blocchi. Qui analizziamo alcune delle principali opzioni di evasione.
1️⃣ Frammentazione dei Pacchetti (-f)
L'opzione -f suddivide i pacchetti in frammenti più piccoli, rendendo più difficile la loro ricostruzione da parte di firewall e IDS.
Sintassi:
nmap -sS -f <target>Vantaggi:
✅ Difficoltà nella ricostruzione dei pacchetti da parte di alcuni firewall. ✅ Può bypassare sistemi che analizzano solo pacchetti completi.Svantaggi:
❌ Firewall moderni ricompongono i frammenti e possono rilevare la scansione. ❌ Può essere inefficace contro IDS avanzati con Deep Packet Inspection.2️⃣ Decoy Scan (-D)
L'opzione -D permette di inserire IP falsi (decoy) nella scansione per confondere i log di sicurezza.
Sintassi:
nmap -sS -D <decoy1>,<decoy2>,ME,<decoy3> <target>Vantaggi:
✅ Nasconde l'IP reale dell'attaccante. ✅ Può confondere i log di sicurezza.Svantaggi:
❌ Se i decoy non sono host attivi, la scansione potrebbe essere riconosciuta. ❌ IDS avanzati possono rilevare schemi di traffico sospetti.3️⃣ Modifica della Dimensione dei Pacchetti (--mtu)
L'opzione --mtu imposta una dimensione specifica dei pacchetti trasmessi.
Sintassi:
nmap -sS --mtu <size> <target>Vantaggi:
✅ Modifica la firma della scansione, eludendo alcune regole IDS. ✅ Alcuni firewall basano il rilevamento sulla dimensione predefinita dei pacchetti.Svantaggi:
❌ Alcuni sistemi possono rilevare pacchetti con MTU non standard.4️⃣ Uso di Porte Sorgente Specifiche (-g)
L'opzione -g (o --source-port) imposta una porta specifica come sorgente della scansione, utile per bypassare firewall che permettono traffico da porte considerate sicure (es. 53 per DNS, 443 per HTTPS).
Sintassi:
nmap -sS -g <porta> <target>Esempio:
nmap -sS -g 53 <target>Vantaggi:
✅ Bypassa firewall che lasciano passare traffico da porte "trusted". ✅ Alcuni IDS non monitorano pacchetti provenienti da porte specifiche.Svantaggi:
❌ I firewall moderni analizzano anche il contenuto dei pacchetti, non solo la porta sorgente.5️⃣ Aggiunta di Dati Casuali ai Pacchetti (--data-length)
L'opzione --data-length aggiunge dati casuali ai pacchetti per modificare la firma della scansione e confondere gli IDS.
Sintassi:
nmap -sS --data-length <size> <target>Esempio:
nmap -sS --data-length 50 <target>Vantaggi:
✅ Cambia la firma della scansione, eludendo alcune regole IDS. ✅ Utile per nascondere la scansione all'interno di traffico legittimo.Svantaggi:
❌ Non sempre efficace contro IDS con analisi avanzata del traffico.6️⃣ Modifica del Time-To-Live (--ttl)
L'opzione --ttl imposta un valore specifico di Time-To-Live (TTL) nei pacchetti inviati.
Sintassi:
nmap -sS --ttl <valore> <target>Esempio:
nmap -sS --ttl 64 <target>Vantaggi:
✅ Può confondere alcuni sistemi di rilevamento che analizzano il TTL. ✅ Permette di simulare il traffico proveniente da un altro sistema operativo.Svantaggi:
❌ Alcuni firewall possono riconoscere valori TTL anomali.🔥 Conclusioni
L’evasione di firewall e IDS con Nmap richiede un approccio strategico basato su: ✅ Modifica del traffico (frammentazione, spoofing, timing) ✅ Utilizzo di protocolli diversi (UDP, TCP con porte note) ✅ Mascheramento dell'origine (decoy, IP spoofing)Ogni tecnica ha i suoi vantaggi e limiti. La combinazione di più opzioni aumenta le probabilità di successo nell’evitare il rilevamento da parte di firewall e IDS avanzati.