Ja, het is mogelijk dat uw doelwit erachter komt dat u NMAP gebruikt om ze te scannen. Echter, dit hangt veel af van de details van hun netwerkconfiguratie en hun vermogen om netwerkverkeer te monitoren.
NMAP is een netwerkscanner die wordt gebruikt om systemen in een netwerk te identificeren en informatie over deze systemen te verzamelen. Het kan worden gedetecteerd omdat het specifieke patronen en kenmerken van verkeer produceert die een geavanceerd detectiesysteem kan identificeren.
Bijvoorbeeld, de SYN-scan, één van de meest populaire scans van NMAP, kan worden gedetecteerd omdat het een SYN-pakket naar het doelsysteem stuurt zonder de volledige TCP-handdruk af te maken (Bron: “Network Intrusion Detection” door Stephen Northcutt, Judy Novak). Dit soort gedrag is ongewoon en kan door inbraakdetectiesystemen (IDS) worden opgepikt.
Verder, de NMAP-software heeft een unieke fingerprint, wat betekent dat de pakketten die het genereert, nuances kunnen hebben die het onderscheiden van andere soorten netwerkverkeer. Een goed ontworpen IDS kan deze fingerprints identificeren en vastleggen dat een NMAP-scan gaande is.
Een voorbeeld van deze fingerprinting kan gezien worden in het onderzoek “Remote physical device fingerprinting” door Tadayoshi Kohno. Bepaalde aspecten van hoe NMAP pakketten assembleert en verstuurt, kunnen unieke kenmerken creëren die detecteerbaar zijn.
Echter, het is belangrijk op te merken dat NMAP ook technieken biedt om detectie te vermijden of te bemoeilijken. Dergelijke technieken omvatten het versluieren van de bron-IP, het vertragen van de scan snelheid, en het gebruik van decoy scans. Deze kunnen de detectie moeilijker maken, maar niet onmogelijk.
Bronnen:
“Network Intrusion Detection” door Stephen Northcutt, Judy Novak
“Remote physical device fingerprinting” door Tadayoshi Kohno
NMAP Network Scanning: De Officiële Nmap Project Gids voor Netwerk Ontdekking en Beveiliging Scannen, door Gordon Fyodor Lyon.
