PDA

Просмотр полной версии : Сканирование портов в обход файрвола


<Gh0St>
03.01.2013, 02:27
Всем привет!
Нужно просканировать порты на одном сервере, но там, по всей видимости стоит файрвол, который фиксирует сканирование и банит по ip.

Подскажите, как можно просканировать порты в обход файрвола?
Как именно файрвол определяет попытки сканирования?

Если не ошибаюсь, по умолчанию nmap проводит коннект-сканирование, а что если запустить в цикле SYN-сканирование по 5 (или 10) портов с паузой (например) в 3 секунды между итерациями? Это поможет в обходе?

Благодарю.

16bit
03.01.2013, 20:49
используй режим paranoid в нмап.

<Gh0St>
05.01.2013, 17:40
к сожалению, режим "параноика" не помог.
спалили и забанили.

<Gh0St>
06.01.2013, 00:43
По поводу бана: нельзя подключиться ни к одному порту, но пинг до сервера идёт. Бан - сутки.
Есть идеи, как провести сканирование и не засветиться?

Faaax
06.01.2013, 07:03
+1
Тоже интересует.

SoLDaT
06.01.2013, 07:22
но пинг до сервера идёт. Бан - сутки.


сам ответил, на свой вопрос. нмап без пингов. -Pn (No ping) можешь, еще всяких шекелей, вроде юдп пингов добавить.

<Gh0St>
06.01.2013, 12:22
Можно подробнее? Каким образом сканирование без пинга поможет избежать обнаружения?

Beched
06.01.2013, 13:29
сам ответил, на свой вопрос. нмап без пингов. -Pn (No ping) можешь, еще всяких шекелей, вроде юдп пингов добавить.

Пингом проверяется, жив ли хост, а не порты сканятся =)

А так, у нмапа функционала много, надо понять, что именно тебя палит. Может это количество попыток коннектов на закрытые порты.
Раз ты не во внутренней сетке, можно просто распределить скан, в конце концов.

<Gh0St>
06.01.2013, 14:28
Что именно палит - не знаю.
Написал скрипт на Питоне, который выполняет SYN-сканирование nmap'ом по 5 портов с задержкой в 3 секунды между итерациями, например:
просканировали порты 21-26; ждём 3 секунды
просканировали порты 26-31; ждём 3 секунды
просканировали порты 31-36; ждём 3 секунды
и т.д.

Если кому интересно, выложу исходник.
Таким образом мне удалось просканировать 100 портов (1-100) и не спалиться.
5 минут спустя запустил повторное сканирование (100-200), просканировал 30 портов и попал в бан.

Faaax
06.01.2013, 15:44
просканил и не забанили
просканил так nmap -Pn -sTV ip
может и тебе поможет;)

<Gh0St>
06.01.2013, 17:33
Подскажите, а что за ключик "-sTV"? Почему-то не нашёл никакой информации о нём.

Faaax
06.01.2013, 20:21
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info

<Gh0St>
07.01.2013, 00:42
Понял, сканирование подключением и вывод версии сервисов.
Врят ли поможет, ведь подключение на множество портов в любом случае происходит, скорее всего, это и палит.

Faaax
07.01.2013, 02:31
так ты же писал что у тебя с интервалом всё происходит через скрипт,вот и попробуй тогда сделать тоже самое только добавив то что выше))
Если не получится отписывай,будем тогда копать глубже.

RoD
09.01.2013, 10:56
Если у ресурса есть IPv6, то можно попробовать TOPERA (http://code.google.com/p/topera/)

Waxid
30.01.2013, 15:22
попробуй использовать spoof адрес
for example: nmap -sV -T1 -p1-100 -S -Pn -e eth0 -S ip_spoof_adress target_ip

на худой конец в свой скрипт добавишь и все. в первый раз же тебя не забанили. Да и еще а как тебя банят? Т.е. если я хочу просканить порты допустим с 1 по 100 результат nmap выводит или нет? или никакого результата не выводит и сразу бан?

Waxid
30.01.2013, 15:54
Используй Idle scan
for examlpe: nmap -p1-110 -Pn -sI petya.ru target_ip

используй список фиктивных хостов. Правда перед IDS не скроешь свой ip, но перемешаешь его в большой списке левых =)
параметр -D