是否可以确定nmap -D扫描背后的是谁？

Question

Nmap的-D选项表示诱饵，这意味着攻击者可以模拟攻击来自多个IP，包括攻击者的IP。

从受害者的角度来看，是否有可能识别真正的IP，然后追踪攻击者？

Answer 1

在nmap -D扫描中，为了返回任何结果，必须在诱饵池中使用您的真实IP地址。如果没有使用真正的IP，您将无法从目标服务器接收到任何响应，并且nmap扫描将无法工作。

-D选项通过引入诱饵IP地址而造成混乱。因此，如果目标服务器正在记录传入连接，它将看到各种各样的伪造IP地址和您的实际IP地址。

如果您不小心确保诱饵处于上升状态(在返回SYN的活动端口上的初始SYN之后没有响应)，或者如果您的ISP筛选器欺骗了IP地址(只有您的IP将出现在服务器日志上)，那么就不难发现进行扫描的实际IP地址。

以下是手册页 of nmap的相关部分，

-D decoy1、诱饵2..。 .导致执行诱饵扫描，这使得远程主机似乎认为您指定为诱饵的主机(S)也在扫描目标网络。因此，他们的IDS可能会报告来自唯一IP地址的5-10端口扫描，但是他们不知道哪个IP在扫描它们，哪些是无辜的诱饵。虽然这可以通过路由器路径跟踪、响应下降和其他活动机制来克服，但通常这是一种有效的隐藏IP address....注意事项的技术，即您用作诱饵的主机应该已经启动，否则您可能会意外地淹没您的目标。而且，如果只有一个主机在网络上运行，那么就很容易确定哪个主机正在扫描。诱饵既用于初始ping扫描(使用ICMP、SYN、ACK或其他什么)，也用于实际端口扫描阶段。在远程操作系统检测(-O)中也使用诱饵。诱饵不适用于版本检测或TCP连接扫描。 ...此外，一些IP将过滤出您的欺骗数据包，但许多根本不限制欺骗IP包。

Answer 2

一种方法是分析数据包上的TTL字段。

活下去的时间是一种IP特性，可以减少路由循环。每个包都以特定的TTL值(通常为64 )开始，每个路由跳将TTL减少一个。如果TTL达到零，则丢弃数据包，并返回ICMP "TTL在传输中过期“消息。拉塞鲁特实用程序使用TTL字段。它首先用TTL=1发送数据包，然后再发送TTL=2等等。然后跟踪ICMP响应以确定对目标IP地址的跟踪。

若要评估特定数据包是否来自诱饵，可以使用traceroute测量到该IP地址的路由距离。如果将它添加到您收到的TTL中，您将得到数据包的初始TTL。结果表明，网络堆栈通常只产生一定的初始TTL值。如果您计算的TTL是其他东西，它意味着包实际上走了一条不同的路线，这是一个诱饵。这种技术并不完美，因为路线可以改变，任何初始的TTL在技术上都是合法的。但这是一种合理的、粗糙的、现成的检测诱饵的方法。

当然，只有在记录接收到的TTL时才能这样做，默认情况下不会发生这种情况。您可以将iptable配置为这样做。