nmap - IDS 우회 기술

- IDS

IDS는 네트워크 트래픽과 오용 탐지 기술등을 활용해 해커의 침입을 탐지하는 응용 프로그램입니다. 먼저 IDS가 사용되고 있는지 알아볼 수 있는 방법을 알아보고 하는 일과 우회 기술에대해 알아보겠습니다.

 

- IDS 사용 여부 확인

• 때떄로 IDS는 역방향 프로브를 보낼때가 있습니다. 따라서 프로브가 오는지 한번 검사해보는 것이 좋습니다.
• IDS는 갑작스럽게 방화벽을 변경하거나 패킷 응답을 위조합니다. 따라서 패킷응답이 위조되는지 검사해보면 IDS를 사용하는지 알아볼 수 있습니다.
• nmap의 서비스 스캔으로 ids-monitor와 같은 서비스 명을 찾게된다면 IDS가 있다는 것입니다.
• IDS는 traceroute에서 응답이 없습니다. traceroute 기능을 사용해서 IDS가 있는지 확인해도 좋습니다.

 

- IDS가 하는 일

• 공격자로부터 얼마나 많은 포트가 연결되는지 탐지합니다.
• 공격자로부터 호스트들이 순서대로 스캔되는지 탐지합니다.

- IDS 우회 기법

-T paranoid : 하나의 프로브만 보냅니다. IDS의 포트 스캔 임계값을 넘지 않도록 합니다.

-T sneaky : 프로브사이에 15초를 대기합니다.

-S 192.168.1 : 소스 IP를 바꾸어서 여러개 보내면 진짜 공격자가 누구인지 모르게 할 수 있습니다.

-f : 조각을 8바이트씩 늘립니다. IDS를 회피할때 사용합니다. 조각화가 8바이트를 넘게되면 IDS는 이를 해석하지못하고 넘기는 경우가 있습니다. 이를 노린 우회기법입니다.
-n : 역방향 DNS 스캔은 IDS가 탐지할 수 있으니 꺼둡니다.

-D RND : Decoy 스캔으로 타겟이 스캐너의 주소를 모르게합니다. RND는 임의의 IP를 부여함을 의미합니다.

--scan-delay 1075ms : 포트 스캔 사이 시간을 1075ms 기다리면서 포트 스캔합니다.

 --randomize-hosts : 스캔하는 호스트를 랜덤으로 스캔해서 IDS를 피합니다.