Использование IdleScan в Nmap
Первым делом необходимо найти подходящий хост-"зомби". Хост не должен гнать большой трафик (отсюда и название - сканирование "вхолостую") и должен иметь предсказываемые значения IPID. Принтеры, ОС Windows, старые Linux-хосты, FreeBSD и MacOS обычно превосходно работают. Последние версии Linux, Solaris и OpenBSD имунны как зомби, однако любой хост может использоваться в качестве жертвы. Один из методов определить уязвимость хоста - это запустить Nmap с параметрами IdleScan. Nmap сам проверит хост-"зомби" и сообщит о его пригодности.
Выполнить эту операцию очень просто. Необходимо лишь указать имя "зомби" после опции -sI - и Nmap сделает все остальное. Вот пример:
# nmap -P0 -p- -sI kiosk.adobe.com www.riaa.com
Starting nmap V.
3.10ALPHA3
( www.insecure.org/nmap/ )
Idlescan using zombie kiosk.adobe.com (192.150.13.111:80); Class:
Incremental
Interesting ports on 208.225.90.120:
(The 65522 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http
111/tcp open sunrpc
135/tcp open loc-srv
443/tcp open https
1027/tcp open IIS
1030/tcp open iad1
2306/tcp open unknown
5631/tcp open pcanywheredata
7937/tcp open unknown
7938/tcp open unknown
36890/tcp open unknown
Nmap run completed -- 1 IP address (1 host up) scanned in 2594.472 seconds
Из приведенного листинга видно, что RIAA не так уж хорошо защищен (заметьте - открыты порты PC Anywhere, Portmapper и Legato nsrexec). Поскольку судя по всему файрволла они не имеют, не похоже, чтобы они имели и какой-нибудь IDS. Но если бы и имели, они бы увидели зомби "kiosk.adobe.com" в качестве источника сканирования. Опция -P0 указывает Nmap не посылать PING-запроса машине RIAA. Это замедляет процесс сканирования, но зато ни один пакет с реальным IP-адресом атакующего не проходит на атакуемую машину. Сканирование проходило очень долго, поскольку были опрошены все 65535 портов. Попустите опцию -p-, чтобы сканировать только первые 1024 порта и остальные известные. И еще: найдите своего "зомби" - "kiosk" не очень подходит для этой цели, он очень часто пропадает, и, похоже, постоянно контролируется.