Firewall and IDS/IPS Evasion
🎯 Objectif
Apprendre à contourner les règles de pare-feu (firewall) et les systèmes de détection/prévention d'intrusion (IDS/IPS) à l'aide de différentes techniques proposées par Nmap.
🔥 Comprendre Firewalls et IDS/IPS
Composant
Rôle
Firewall
Filtrer ou bloquer les connexions non autorisées selon des règles.
IDS (Intrusion Detection System)
Détecte les connexions suspectes et alerte l'administrateur.
IPS (Intrusion Prevention System)
Prévient activement les connexions suspectes en les bloquant.
🔎 Déterminer les Règles du Pare-feu avec le scan ACK (-sA)
📤 Commande SYN Scan :
sudo nmap <IP CIBLE> -p 21,22,25 -sS -Pn -n --disable-arp-ping --packet-trace📥 Réponse complète :
SENT (0.0278s) TCP <IP ATTAQUANT>:57347 > <IP CIBLE>:22 S ttl=53 id=22412 iplen=44 seq=4092255222 win=1024 <mss 1460>
SENT (0.0278s) TCP <IP ATTAQUANT>:57347 > <IP CIBLE>:25 S ttl=50 id=62291 iplen=44 seq=4092255222 win=1024 <mss 1460>
SENT (0.0278s) TCP <IP ATTAQUANT>:57347 > <IP CIBLE>:21 S ttl=58 id=38696 iplen=44 seq=4092255222 win=1024 <mss 1460>
RCVD (0.0329s) ICMP [<IP CIBLE> > <IP ATTAQUANT> Port 21 unreachable (type=3/code=3)]
RCVD (0.0341s) TCP <IP CIBLE>:22 > <IP ATTAQUANT>:57347 SA ttl=64 id=0 iplen=44 seq=1153454414 win=64240 <mss 1460>
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp📤 Commande ACK Scan :
sudo nmap <IP CIBLE> -p 21,22,25 -sA -Pn -n --disable-arp-ping --packet-trace📥 Réponse complète :
SENT (0.0422s) TCP <IP ATTAQUANT>:49343 > <IP CIBLE>:21 A ttl=49 id=12381 iplen=40 seq=0 win=1024
SENT (0.0423s) TCP <IP ATTAQUANT>:49343 > <IP CIBLE>:22 A ttl=41 id=5146 iplen=40 seq=0 win=1024
SENT (0.0423s) TCP <IP ATTAQUANT>:49343 > <IP CIBLE>:25 A ttl=49 id=5800 iplen=40 seq=0 win=1024
RCVD (0.1252s) ICMP [<IP CIBLE> > <IP ATTAQUANT> Port 21 unreachable (type=3/code=3)]
RCVD (0.1268s) TCP <IP CIBLE>:22 > <IP ATTAQUANT>:49343 R ttl=64 id=0 iplen=40 seq=1660784500 win=0
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp unfiltered ssh
25/tcp filtered smtp🎭 Utiliser des Decoys (-D) pour masquer son IP
📤 Commande :
sudo nmap <IP CIBLE> -p 80 -sS -Pn -n --disable-arp-ping --packet-trace -D RND:5📥 Réponse complète :
SENT TCP <IP RND1>:59289 > <IP CIBLE>:80 S
SENT TCP <IP ATTAQUANT>:59289 > <IP CIBLE>:80 S
SENT TCP <IP RND2>:59289 > <IP CIBLE>:80 S
SENT TCP <IP RND3>:59289 > <IP CIBLE>:80 S
SENT TCP <IP RND4>:59289 > <IP CIBLE>:80 S
SENT TCP <IP RND5>:59289 > <IP CIBLE>:80 S
RCVD TCP <IP CIBLE>:80 > <IP ATTAQUANT>:59289 SA
PORT STATE SERVICE
80/tcp open http🌐 Contourner via le port DNS (53)
📤 Scan standard :
sudo nmap <IP CIBLE> -p50000 -sS -Pn -n --disable-arp-ping --packet-trace📥 Réponse :
SENT TCP <IP ATTAQUANT>:33436 > <IP CIBLE>:50000 S
SENT TCP <IP ATTAQUANT>:33437 > <IP CIBLE>:50000 S
PORT STATE SERVICE
50000/tcp filtered ibm-db2📤 Scan depuis le port 53 (source) :
sudo nmap <IP CIBLE> -p50000 -sS -Pn -n --disable-arp-ping --packet-trace --source-port 53📥 Réponse :
SENT TCP <IP ATTAQUANT>:53 > <IP CIBLE>:50000 S
RCVD TCP <IP CIBLE>:50000 > <IP ATTAQUANT>:53 SA
PORT STATE SERVICE
50000/tcp open ibm-db2🧪 Tester l'accès avec Netcat (ncat)
📤 Commande :
ncat -nv --source-port 53 <IP CIBLE> 50000📥 Réponse :
Ncat: Connected to <IP CIBLE>:50000.
220 ProFTPdMis à jour