NMAP, aussi connu sous le nom de Network Mapper, est un logiciel open source utilisé pour analyser les réseaux. Il fournit des informations sur les hôtes actifs, les services disponibles, le système d’exploitation, les filtres et les pare-feu, entre autres. Pour rendre NMAP indétectable, plusieurs astuces peuvent être mises en œuvre.
Premièrement, l’utilisation des scans furtifs. NMAP offre plusieurs techniques de scans différents qui peuvent être plus discrets, comme le SYN scan (`-sS`), le FIN scan (`-sF`), ou encore le NULL scan (`-sN`). Ces types de scans n’établissent pas de connexion TCP complète avec la cible, rendant donc la détection plus difficile.
Par exemple, le SYN scan envoie seulement un paquet SYN au lieu d’effectuer la poignée de main TCP complète (3-way handshake). Si le port est ouvert, l’hôte cible répondra avec un paquet SYN/ACK, et NMAP enverra un paquet RST pour terminer la connexion avant qu’elle soit établie complètement. Ce type de scan est généralement difficile à détecter car il n’apparaît pas dans les logs de connexion TCP (source : NMAP Network Scanning, Gordon “Fyodor” Lyon).
Deuxièmement, la variation des intervalles entre les paquets peut aider à rendre le scan moins détectable. En utilisant l’option `-scan-delay`, vous pouvez définir un délai entre les paquets envoyés. Cela peut aider à éviter la détection par des outils de détection d’intrusion qui identifient les scans rapides.
Troisièmement, l’utilisation de l’option `-f` permet de fragmenter les paquets, rendant plus difficile pour les systèmes de détection de reconstituer le paquet et de comprendre qu’il s’agit d’un scan.
Enfin, utiliser la technique d’IP spoofing peut aussi aider à rendre le scan indétectable. Cette technique consiste à falsifier l’adresse IP source des paquets envoyés. En utilisant l’option `-S` suivie d’une adresse IP, vous pouvez définir une fausse adresse IP source. Cependant, cette technique rend impossible la réception des réponses de l’hôte cible, elle est donc généralement utilisée avec une autre technique appelée “Idle scan”.
Cependant, il est important de noter que bien que ces techniques peuvent aider à rendre NMAP plus difficile à détecter, aucun scan n’est complètement indétectable. De plus, l’utilisation de ces techniques peut être illégale dans certaines juridictions et doit donc être utilisée de manière éthique et responsable.
Sources:
- NMAP Network Scanning, Gordon “Fyodor” Lyon
- NMAP official documentation (https://nmap.org/book/man.html)
- Penetration Testing: A Hands-On Introduction to Hacking, Georgia Weidman.