к примеру такой сканер как nmap имеет режим Stealth-scan(SYN,FIN,Xmas,Null)
данное сканирование не определяется основной массой персональных брендмауэров (AtGuard, Outpost, Norton и т.д.). Данный тип сканирования распознается некоторыми IDS (snort и его производные)
> У меня вопрос: Возможно ли в наше трудное время Stealth - > сканирование?
1. Нет такого прямого сканирования которое небыло бы возможно засечь.
2. Истинное стелс-сканирование относительно Вашего компа (ваш IP практически нереально засечь):
а) сканирование производимое для Вас чужим компьютером (сначала нужно постараться над ним). Как вариант в комп. клубе или Inet-Кафе запуск своих прог.
б) сканирование Вами с подстановкой ложного IP "третьего" (простаивающего в сети) компьютера + пинг третьего компа с проверкой секвенс номера. (Для истинных проффесионалов).
3. Практически нереально придумать, что-нибудь свое (протокол TCP-IP не изменялся 20 лет)
4. Проще просканировать парочку "Нужных" портов, чем разгребать ненужный хлам.
5. У меня на линухе (а таких как я знаете сколько + есть и ПОХУЖЕ) стоит парочка интересных пакетов:
а) анализирует все запросы - при некоторых комбинациях совпадений (протокол, порт, тип, IP) -> стандартные действия
б) открывает ложные порты и ждет к ним обращение (любой пакет) (прикольно открыть smb порты на линухе), если обращение -> стандартные действия
стандартные действия = лог + возможность временного блокирования данного IP.
в) читают системные логи и если, что-то интересное - мыло, на другой комп, мне месагу на мобилу.
г) и много еще чего вкусного.
6. Извиняюсь если слишком много отобрал времени + если кого-то, что-либо заинтересовало дайте знать сюда-же. По возможности отвечу.
смотря что ты понимаешь под этим03.07.02 10:18 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
к примеру такой сканер как nmap имеет режим Stealth-scan(SYN,FIN,Xmas,Null)
данное сканирование не определяется основной массой персональных брендмауэров (AtGuard, Outpost, Norton и т.д.). Данный тип сканирования распознается некоторыми IDS (snort и его производные)
смотря что ты понимаешь под этим03.07.02 18:51 Автор: ktoto Статус: Незарегистрированный пользователь
Опять же если сканировать
то все и вся лучше не сканировать
я большей частью придерживаюсь идеологии одиночных уколов
преимущества :
1) всегда можно отморозится (типа не адрес не тот набрал)
2) врядли хоть какой то админ будет подымать бучу изза однократной проверки
3) не думаю что хоть ктото установит рекцию IDS на данное мероприятие
потому как растет очень сильно число ложных срабатываний
4) психологический - разгребать однократные попытки просто впадлу
обычно рассматривают целенаправленный скан
а еще04.07.02 09:46 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
если сканить с decoy то можно отмазаться что тебя просто подставили :-)) (проверить можно будет только если твой пров логит все пакеты и согласится выдать логи - что очень напряжно)
главное в этом правильно выбрать адреса decoy
а еще04.07.02 10:47 Автор: LeD0RuB Статус: Незарегистрированный пользователь
> если сканить с decoy то можно отмазаться что тебя просто > подставили :-)) (проверить можно будет только если твой
А вообще честно говоря проблемы бывают!
Если так интересно могу показать напечатаное письмо которое мне пришло
во время шквала IIS уязвимостей от некого товарища с dnd.ca
Из которого я узнал что оказывается когда я ошибся в запросе к их серверу - я
как следовало из письма типа нарушил закон, Вообще весьма раритетное издание ввиду того что там советовали сдаться в ближайший полицейский участок )))))
Что я естественно и сделал ))))))))
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
