🥷 Обход защиты (-f, -D, -S)

💥 -f — Фрагментация пакетов

Разбивает TCP-заголовок на фрагменты по 8 байт. Старые IDS и фаерволы не умеют собирать фрагменты.

nmap -sS -f <target>        # фрагменты по 8 байт
nmap -sS -f -f <target>     # по 16 байт (двойная)
nmap -sS --mtu 24 <target>  # ручной размер (кратно 8)

-f = --mtu 8, -f -f = --mtu 16.

🎭 -D — Decoy (приманки)

Пакеты якобы от нескольких IP одновременно. В логах — куча источников, непонятно кто настоящий.

nmap -sS -D 10.0.0.1,10.0.0.2,ME <target>   # ручные decoy
nmap -sS -D RND:5 <target>                    # 5 случайных

ME — твой реальный IP среди фейковых. Nmap подделывает Source IP в заголовке (IP spoofing), но ответы от decoy-адресов не получает.

Выбирай реально существующие хосты как decoy — иначе опытный админ отфильтрует нерабочие IP и найдёт твой.

🫥 -S — Подмена Source IP

Полная замена Source IP. Ответ уйдёт на подставной адрес — ты ничего не получишь.

nmap -S 192.168.1.100 -e eth0 -Pn <target>

Практически бесполезен для сканирования. Применяется для тестирования своего фаервола и как часть Idle Scan.

📊 Полезность на практике

Каждый день    ████████████  -sS, -sV, -sC
Регулярно      ███████░░░░░  -D (decoy)
Периодически   █████░░░░░░░  -f, --mtu
Редко          ███░░░░░░░░░  -sI (idle scan)
Почти никогда  █░░░░░░░░░░░  -S (чистый спуфинг)

🧠 Комбо для обхода

nmap -sS -f -D RND:3 --reason <target>

Фрагментация + приманки + причины статусов.