🧱 ¿Qué es un Firewall?

• Es un componente software que controla el tráfico de red según reglas preestablecidas.

• Decide si los paquetes se permiten, ignoran o bloquean.

• 🚫 Paquetes filtrados → No hay respuesta del host.

• ❌ Paquetes rechazados → Se recibe un RST o errores ICMP como:

  • Net Unreachable

  • Host Prohibited

  • Port Unreachable

🧠 ¿Qué es un IDS/IPS?

• IDS (Intrusion Detection System):
  Escanea y notifica ataques detectados.

• IPS (Intrusion Prevention System):
  Toma acciones automáticas para mitigar amenazas.

• 🔍 Se basan en firma/patrones y suelen reaccionar ante:

  • Scans agresivos

  • Actividad anómala

🔍 Técnicas de Evasión

🛡️ ACK Scan (-sA)

✅ Más difícil de detectar por firewalls e IDS.
📌 Solo envía paquetes con ACK (sin SYN), que suelen pasar los filtros.

sudo nmap 10.129.2.28 -p 21,22,25 -sA -Pn -n --disable-arp-ping --packet-trace

Resultado típico:

• 22/tcp → unfiltered (recibe RST)

• 21/tcp y 25/tcp → filtered (no respuesta)

⚙️ SYN Scan (-sS)

📌 Escaneo clásico, puede activar alarmas IDS/IPS.

sudo nmap 10.129.2.28 -p 21,22,25 -sS -Pn -n --disable-arp-ping --packet-trace

Resultado típico:

• 22/tcp → open (recibe SYN-ACK)

• Otros → filtered o cerrados

🕶️ Detección de IDS/IPS

• Difícil detectar porque suelen ser pasivos.

• 🚨 Si tu IP es bloqueada → es probable que exista un IPS activo.

• 👉 Usa múltiples VPS para probar distintas IPs.

• Señales de IDS:

  • Acceso bloqueado después de un escaneo.

  • Caída de conexión tras patrones agresivos.

🕶️ Uso de Decoys (-D)

• Envía paquetes desde múltiples IPs falsas para ocultar la IP real.

• Mejora el anonimato y dificulta la correlación de la fuente del escaneo.

sudo nmap 10.129.2.28 -p 80 -sS -Pn -n --disable-arp-ping --packet-trace -D RND:5

• Aquí 192.168.1.100 y 192.168.1.200 son las IPs señuelo.

• ME representa la IP real (tu máquina o la que estás usando).

• 10.129.2.28 es la IP objetivo a escanear.

• El IP real está escondido entre las IPs señuelo.

• ⚠️ Las IPs usadas como señuelo deben estar activas para evitar detección por SYN flooding.

🔹 Fragmentación de paquetes (-f)

Divide el escaneo en paquetes fragmentados, dificultando la detección.

nmap -f <IP>

🔹 Ajustar MTU (--mtu)

Envía paquetes muy pequeños para evadir reglas basadas en tamaño.

nmap --mtu 24 <IP>

🔹 Modificar longitud de datos (--data-length)

Agrega bytes adicionales aleatorios para alterar la firma del paquete.

nmap --data-length 50 <IP>

🔹 Cambiar puerto de origen (--source-port)

Simula tráfico legítimo (ejemplo, puerto 53 DNS) para burlar reglas de firewall.

nmap --source-port 53 <IP>

sudo nmap 10.129.2.28 -p50000 -sS -Pn -n --disable-arp-ping --packet-trace --source-port 53

🔹 Spoof de dirección MAC (--spoof-mac)

Cambia la dirección MAC para ocultar el origen real del escaneo.

nmap --spoof-mac 00:11:22:33:44:55 <IP>

🔹 Stealth Scan (SYN Scan) (-sS)

Envía paquetes SYN sin completar el handshake TCP, evitando conexiones completas y mejorando sigilo.

nmap -sS <IP>

⚠️ No se envía el ACK final.

📡 Verificación con Netcat

Para comprobar si el firewall fue evadido con éxito, puedes usar netcat simulando tráfico desde puerto 53:

ncat -nv --source-port 53 <IP> <puerto>

Si el servicio responde, la técnica fue exitosa.

🔥 Mejor comando combinado para evasión avanzada con Nmap

sudo nmap 10.129.2.80 \
-p 21,22,25,80,443,445 \
-sS -Pn -n --disable-arp-ping  \
-D 192.168.1.100,192.168.1.200,ME,RND:3 \
--mtu 24 \
--data-length 50 \
--source-port 53 \
--spoof-mac 00:11:22:33:44:55