Nmap - mozna tak sobie uzywac?

[TQM]

Jedyne co moge powiedziec to "AMEN!" :-)
W drugim zdaniu chodzilo mi oczywiscie o IPSy

[lame]

Za wyjątkiem administratora atakowanego serwera, nikt się nie zainteresuje skanowaniem portów. No chyba że masz nadgorliwego administratora osiedlówki.

Udowodnienie, że to Ty wykonałeś skanowanie jest dość trudne, nawet znalezienia śladów na zabezpieczonym sprzęcie jest podważalne, zawsze ktoś mógł się włamać na Twój komputer.

Zamiast robić cyrki ze swojego PC, polecam poszukać hostingu www, gdzie możliwości generowania ruchu nie są ograniczone ( pakiety UDP, otworzenia portu nasłuchującego ) i wykonać skanowanie z takiego serwera przy użyciu bibliteczki PHP-PEAR
http://pear.php.net/package/Net_Nmap
Ciekawe czy administratorzy hostingu przygotowani są na wykrycie skanowania wychodzącego z ich serwerów :-)

W zależności od tego jak skonstruowane są filtry wykrywające i/lub blokujące skanowanie na atakowanym serwerze (czy w ogole są jakies filtry), do efektywnego wykonania skanowania potrzebnych może być wiele komputerów (różnych adresów IP), w takim przypadku ma sens zastosowanie techniki opisanej wyżej (z hostingów).
No chyba że masz botnet.

Czy istnieją sposoby aby administrator nie widział skanowania?
Aby odpowiedzieć sobie na to pytanie, trzeba wyobrazić sobie, albo dowidzieć się jak wyglądają filtry wykrywające skanowanie, czy jest to np. duża ilość pakietów TCP/SYN z pojedyńczego IP, a jeżeli tak to jaka ilość tych pakietów sposowuje podniesienie alertu. Nawet wysłanie pakietu na port gdzie nie działa żadna usługa jest podejżane, a przecież przy skanowaniu portów praktycznie nie da się tego uniknąć.
Regółek filtrów może być dużo, może być mało, mogą być zmyślne, mogą być głupawe, mogą być nadgorliwe aż do zablokowania od czasu do czasu dostępu użytkownikowi który wcale nie skanował, mogą być ślepe wpuszczając każde skanowanie. Wszystko zależy od admina, a prawda leży gdzieś po środku.