• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Сканирование сети без детекта

QAQA

Green Team
11.06.2024
10
1
BIT
39
Всех приветствую! Каким образом можно просканить сеть и не словить детект?
Было пару кейсов, когда при сканировании сети все хосты в домене легли, видимо такие настройки при обнаружении сканирования.
 

mcfly

Green Team
08.09.2016
647
639
BIT
463

Так же есть статья в Хакере от Castera Закаляем хакерский дистр и учимся не шуметь в сети!
 

UserName011

Green Team
01.09.2020
128
2
BIT
560
Всех приветствую! Каким образом можно просканить сеть и не словить детект?
Было пару кейсов, когда при сканировании сети все хосты в домене легли, видимо такие настройки при обнаружении сканирования.
Если рассматриваем сеть, где нормальный SOC, то ооооооочень медленный скан исключительно на порты, на которые ходят пользователи. 5-10 одинаковых портов на разные хосты в течении короткого времени или необычные для пользователя порты и будет сработка.
Как вариант у контроллера домена спросить имена машин и собрать SPN, там и порты будут, на которых сервисы висят.
Еще можно ARP-спуфингом, если каким-то чудом его не мониторят и не заблокировали, сканить от имени соседей, а самому перехватывать ответы. Но такое я пока не пробовал, это надо свой скрипт писать на scapy скорее всего)

Не думаю что при сканировании кто-то кладет хосты, скорее бы блокировали входящий от твоего адреса. Либо это какое-то старое оборудование, как-то натыкался на такое, приходилось исключать из сканирования, совсем не вывозило скан.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!