Сканирование сети без детекта

[QAQA]

Всех приветствую! Каким образом можно просканить сеть и не словить детект?
Было пару кейсов, когда при сканировании сети все хосты в домене легли, видимо такие настройки при обнаружении сканирования.

 

[mcfly]

Ссылка скрыта от гостей

Так же есть статья в Хакере от Castera Закаляем хакерский дистр и учимся не шуметь в сети!

 

[UserName011]

Всех приветствую! Каким образом можно просканить сеть и не словить детект?
Было пару кейсов, когда при сканировании сети все хосты в домене легли, видимо такие настройки при обнаружении сканирования.

Если рассматриваем сеть, где нормальный SOC, то ооооооочень медленный скан исключительно на порты, на которые ходят пользователи. 5-10 одинаковых портов на разные хосты в течении короткого времени или необычные для пользователя порты и будет сработка.
Как вариант у контроллера домена спросить имена машин и собрать SPN, там и порты будут, на которых сервисы висят.
Еще можно ARP-спуфингом, если каким-то чудом его не мониторят и не заблокировали, сканить от имени соседей, а самому перехватывать ответы. Но такое я пока не пробовал, это надо свой скрипт писать на scapy скорее всего)

Не думаю что при сканировании кто-то кладет хосты, скорее бы блокировали входящий от твоего адреса. Либо это какое-то старое оборудование, как-то натыкался на такое, приходилось исключать из сканирования, совсем не вывозило скан.