Échapper à la détection

Les pare-feu sont conçus pour détecter et bloquer les scans suspects. Les hackers éthiques doivent employer des techniques d'évasion pour faire passer leurs paquets.

Tactiques d'évasion courantes

1. Scan par leurres (-D) : (Couvert à la Leçon 70) Cache l'origine réelle de l'attaquant parmi de nombreuses IP sources usurpées.
2. Manipulation du port source (--source-port) : De nombreux pare-feu anciens font confiance au trafic provenant de ports spécifiques hautement privilégiés (comme le port 53 DNS ou le port 20 données FTP). Envoyer des paquets de scan semblant provenir de ces ports de confiance peut parfois contourner le filtrage.
3. Scan Idle (-sI) : Un scan très avancé et complexe utilisant un hôte tiers « zombie » pour faire rebondir les paquets. La cible voit le scan arriver du zombie, pas de l'attaquant.
   • Note : Difficile à réaliser et nécessite de trouver un hôte zombie approprié.
4. Fragmentation des paquets (-f) : Diviser l'en-tête TCP en plusieurs paquets pour que les filtres simples ne puissent pas identifier facilement les flags de port.