Nmap高级攻击指南：用官方工具实施SYN欺骗攻击

概述

当一个公司或组织采用入侵检测系统（IDS）监控解决方案时，入侵者在进行网络或主机扫描时可能无法始终保持隐蔽。在这种情况下，入侵者可能会使用伪造源IP地址的SYN端口扫描故意触发警报，通过欺骗策略转移安全运营中心（SOC）团队的注意力。SOC团队应意识到这些技术，迅速识别攻击的真实来源，并保持有效的事件响应。

随着现代化威胁检测系统的不断发展，使入侵者在保持隐蔽的同时规避检测变得越来越困难。当完全隐藏变得不可行时，攻击者仍然可以采用另一种策略：欺骗。通过对防御者使用欺骗技术，攻击者旨在误导、混淆或延迟检测和响应。这种方法被称为攻击性欺骗（Offensive Deception），涉及专门设计的战术来操纵防御者对攻击的认知，或创建假线索以掩盖真正的威胁。

常见的欺骗技术包括：

(1)伪装陷阱（False Flags）

攻击者故意植入证据，使其行动被错误归因于另一个实体或组织。这可能包括使用已知威胁行为者使用的工具、战术或 IP 地址。

(2)噪声生成（Noise Generation）

• 向日志或系统发送大量无害警报，以压垮防御者，从而隐藏真正的攻击。
• 触发低严重性检测（如无害的端口扫描），以分散安全团队对更复杂攻击活动的注意力。

(3)诱饵攻击（Decoy Attacks）

发动可见但影响较小的攻击，以转移防御者的注意力，而真正的攻击则在网络的其他部分展开。

(4)错误信息与误导（Misinformation and Misdirection）

• 留下伪造数据（如被操纵的日志或凭据）来误导调查人员，使其错误推测攻击者的目标或入侵点。
• 使用欺骗性命名（例如，将恶意文件命名为看似合法的系统文件）。

(5)防御者的“蜜罐”（Honey-Traps for Defenders）

• 设计用于诱使防御者浪费时间在无关或虚假的证据上的资源。
• 设立虚假攻击指标（IOCs），使安全团队沿错误的调查方向前进。

在本文中，将重点介绍噪声生成和诱饵攻击，并演示如何使用带有伪造源 IP 地址的 SYN 端口扫描来实施这些欺骗策略。

作为渗透测试人员或红队成员，经常需要在内部网络中从未经身份验证的角度操作，以模拟假设的入侵场景。这些测试通常模拟攻击者在获得对内部环境的有限访问权限后的情况。在 Active Directory（AD）环境中，即使没有有效凭据，仍然可以利用多种技术进行攻击。然而，这些方法超出了本文的范围。

在此类场景中的关键步骤之一是网络侦察，即枚举内部资产、主机和网络中暴露的服务，以发现潜在漏洞。像 Nmap 这样的工具是广泛认可的端口扫描工具，在该过程中起着关键作用。端口扫描有助于识别开放端口、运行的服务以及潜在的漏洞，为进一步利用或横向移动奠定基础。

从防御者的角度来看，检测内部端口扫描至关重要，因为它们通常表明潜在的内部入侵，并需要立即开展追踪溯源工作。近年来，越来越多的组织开始实施检测机制，如入侵检测系统（IDS）或基于端点的解决方案，以识别此类活动。

现代 IDS 采用多种技术来检测端口扫描活动：

(1)模式识别（Pattern Recognition）

很多入侵检测和防护系统（IDPS）会监控流量模式，并寻找异常情况，例如在短时间内对同一主机或多个主机的不同端口进行多个连接尝试。这些模式通常表明存在端口扫描行为。例如，如果检测到大量 SYN 数据包但未收到相应的 ACK 响应（即半开放扫描），IDS 可能会触发警报。

(2)阈值检测（Threshold-Based Detection）

某些系统会在单个源 IP 在特定时间窗口内尝试的连接次数超过预设阈值时触发警报。例如，在 30 秒内来自同一 IP 地址的 50 次失败连接尝试可能会引发警报。

(3)协议行为分析（Protocol Behaviour Analysis）

系统会观察常见协议中的异常行为。例如，重复尝试连接到已关闭的端口或非标准端口范围的行为可能表明端口扫描正在进行。

(4)启发式和 AI 识别（Heuristic and AI-Based Methods）

高级检测解决方案使用机器学习来分析正常的网络行为，并标记出可能表明侦察活动的异常模式，例如水平扫描（针对多个主机）或垂直扫描（针对单个主机的多个端口）。

规避检测的成功率在很大程度上取决于防御系统的类型。例如，对于基于规则的检测系统，非常慢速的端口扫描可能不会触发警报。然而，这种方法耗时较长，在时间受限的攻击任务中可能不太可行。

其他规避技术包括利用合法服务（如 Web 浏览器或 PowerShell）进行扫描，以降低触发 Nmap 等常见端口扫描工具签名的风险。此外，Nmap 还提供了各种扫描技术（如 SYN 扫描、FIN 扫描和分片数据包扫描）以躲避检测。

然而，这些方法通常对更先进的检测系统（如基于启发式或人工智能 AI 的 IDS）无效。此外，基于主机的检测系统或 Canary tokens 可能仍然会触发警报，即使只是一次端口扫描，具体取决于其配置方式。

SYN 端口扫描是一种侦察技术，攻击者利用 TCP 三次握手过程来识别目标系统上的开放端口，而无需完全建立连接。虽然这种方法曾经被认为是隐蔽的端口扫描方式，但现代 IDS 解决方案通常会为此类活动生成警报。

由于 SYN 扫描不会完成三次握手，因此它也可以作为一种进攻性欺骗技术，使用伪造的源 IP 地址来迷惑防御者。攻击者可以通过伪造源 IP 发起 SYN 端口扫描，使网络侦察警报看起来像是来自被伪造的 IP 地址。这种策略可能会混淆 SOC 团队，使其浪费时间调查错误的攻击来源，从而掩盖攻击者的真实行踪。

需要注意的是，向主机发送大量 SYN 流量可能导致拒绝服务（DoS）状况，因为大量半开放连接可能会耗尽系统资源，这种攻击被称为SYN 洪水攻击（SYN Flooding）。

在该检测实验中，使用了 Suricata 作为 IDS，并结合 Hunting ELK（HELK）进行监控和分析。实验室的设置如下图所示:

两台虚拟机，vm1和vm2，分别在不同的子网中创建：172.20.10.0/24和172.20.20.0/24。Suricata IDS实例连接到虚拟交换机的镜像端口，以实时监控流量。

Suricata

Suricata是一款开源的入侵检测系统（IDS），通过实时分析网络流量并应用一组用户定义的或预配置的检测规则来识别并响应潜在威胁。我使用了此处提供的Nmap检测规则:

https://github.com/aleksibovellan/opnsense-suricata-nmaps

HELK

这里选择了Hunting ELK（HELK）平台，利用其高效的日志查看和分析能力，适用于大规模环境。HELK是一个开源的猎杀平台，主要用于研究，但由于其灵活的设计和核心组件，也可以在更大规模的环境中部署。有关HELK的详细信息，可以参考官方文档:

https://thehelk.com/intro.html

Nmap提供了通过-sS选项进行SYN扫描的能力，并支持诱饵扫描特性（-D），允许使用源IP伪造生成SYN流量。在该实验环境中，设置了从vm1生成流量，并在Kibana中监控生成的警报。

使用Nmap执行以下命令:

nmap -sS -Pn -F 172.20.20.10 -D 172.30.20.10,ME,172.30.20.11 -e ens34

在Kibana中，src_ip_addr列指示源IP地址已被伪造。这种欺骗性策略可能导致SOC团队将这些警报标记为IOC，从而在溯源过程中造成困惑或增加认知成本。

上述命令执行了一个使用真实IP地址的SYN端口扫描。为了完全掩盖真实IP并仅生成使用伪造源IP的流量，继续尝试探索了Nmap中的伪造源IP选项（-S）。以下是此类命令的示例。

使用Nmap执行以下命令:

nmap -sS -Pn -F 172.20.20.10 -S 172.20.10.9 -D 172.30.20.10,ME,172.30.20.11 -e ens34

该命令旨在将源IP地址更改为172.20.10.9。然而，它导致了以下错误，指示系统无法找到vm2的路由。下图还显示了主机上现有的IP路由。目前对于是什么原因造成的该错误还没有定论, 如果有知道原因的朋友还望不吝赐教。

这里使用Python Scapy编写了一个简单的轻量级工具，以使用伪造的IP进行SYN扫描。该工具可在这里获取:

https://github.com/TierZeroSecurity/syn_spoof_scanner

以下命令执行对172.20.20.10的SYN端口扫描，扫描前100个端口，源IP为（172.20.10.10），该IP地址分配给接口（ens34），并且还从spoof.txt文件中列出的IP地址发送SYN数据包。

python3 syn_spoof_scan.py -t 172.20.20.10 -F -s 172.20.10.10 -i ens34 -f spoof.txt --open

这些是由Suricata生成的警报，包含伪造的源IP地址。

总结

当无法保持隐蔽时，可以通过生成具有伪造源IP的SYN端口扫描流量来使用进攻性欺骗策略。虽然这种方法并不是解决方案，但它可以扰乱事件响应流程，并提供宝贵的额外时间。值得在你的环境或客户的环境中进行测试，以确定SYN扫描是否会生成与伪造IP相关的警报。如果SOC团队以前没有遇到过这种情况，这也为他们提供了一个了解进攻性欺骗的宝贵学习机会。为了减轻IP源伪造问题，可以实现反向路径验证等保护机制（如果路由器支持的话）。其他协议，尤其是基于UDP的服务（如SNMP和DNS），也可以通过使用伪造源IP生成警报，这可能值得进一步研究。

原文始发于微信公众号（二进制空间安全）：Nmap高级攻击指南：用官方工具实施SYN欺骗攻击