Firewall und IDS/IPS Evasion

1. Firewalls: Warum und wann umgehen?

Warum: Firewalls blockieren oft eingehende Verbindungen auf bestimmten Ports. Um Dienste hinter einer Firewall zu entdecken, musst du versuchen, den Verkehr zu tarnen oder Pakete zu verwenden, die die Firewall passieren lässt.

Wann: Wenn viele Ports als "filtered" angezeigt werden, blockiert die Firewall wahrscheinlich SYN-Pakete. Ein ACK-Scan kann helfen zu sehen, welche Ports wirklich offen sind, da ACK-Pakete oft zugelassen werden.

sudo nmap 10.129.2.28 -p 21,22,25 -sA

2. IDS/IPS: Warum und wann umgehen?

Warum: IDS/IPS-Systeme erkennen verdächtigen Netzwerkverkehr. Um nicht sofort erkannt oder blockiert zu werden, kannst du Techniken wie Decoys oder das Scannen über ungewöhnliche Ports verwenden.

Wann: Wenn ein Netzwerkscan dazu führt, dass du vom Zielnetzwerk geblockt wirst, könnte ein IPS-System aktiv sein. Verwende Decoy-Scans, um deine wahre IP zu verstecken:

sudo nmap 10.129.2.28 -p 80 -sS -D RND:5

3. DNS-basierte Evasion

Warum: Viele Firewalls lassen DNS-Verkehr durch. Du kannst Pakete über Port 53 senden, um Filter zu umgehen.

sudo nmap 10.129.2.28 -p 50000 --source-port 53

Diese Techniken sind nützlich, wenn du mit restriktiven Firewalls oder IPS-gestützten Netzwerken konfrontiert bist und Informationen sammeln möchtest, ohne entdeckt zu werden.

--source-port (Quellport)

• Was es macht: Der --source-port-Schalter legt den Quellport fest, den dein Scan auf deinem System (der Quelle) verwenden soll. Normalerweise wählt Nmap zufällig einen Quellport, aber mit --source-port kannst du den Port manuell festlegen.

  Beispiel:

  nmap --source-port 53 -p 80 <target>

  • Hier wird der Quellport 53 für deinen Scan verwendet, und du scannst Port 80 auf dem Zielsystem.