防火墙与入侵检测系统(IDS)的核心工作逻辑,是依托规则匹配机制甄别并拦截异常扫描流量,比如识别 Nmap 标准探测包特征、单一源 IP 高频请求等行为。以下四类 Nmap 防火墙绕过技巧,核心思路在于利用设备规则漏洞,包括数据包片段重组缺陷、IP / 端口信任策略、流量特征识别盲区等,实现隐蔽扫描操作。所有操作均需获取 root 权限以构造自定义数据包,且必须在合法授权范围内执行。
因缺乏实体防火墙设备,本文以本地靶机为测试环境展开演示,重点记录各类绕过技术的核心逻辑与操作方法。
1 报文分段绕过
1.1 技术原理
多数防火墙与 IDS 设备会对完整的 TCP 或 UDP 数据包特征进行检测,比如 Nmap 默认探测包的标志位、数据长度等。Nmap 的-f参数可将扫描数据包拆分为小型片段,默认按 MTU 576 字节拆分后,每个片段仅 16 字节左右。部分老旧防火墙与 IDS 不具备数据包重组能力,拆分后的扫描流量难以被其识别,进而实现对拦截机制的规避。
1.2 实操命令
假设目标主机 10.10.10.178 的 80 端口已被防火墙过滤,可通过分段 + SYN 扫描精准探测该端口状态,命令如下:
nmap -f -sS 10.10.10.178 -p 80 # 分段+SYN扫描,重点探测80端口 执行结果示例
结果解读
未启用-f参数时,80 端口通常会显示为filtered状态,即无有效响应;启用分段功能后,拆分后的数据包可绕过防火墙检测,目标主机的响应会使端口状态变为open|filtered,后续可通过补充探测验证端口是否真正开放。
1.3 适用场景
- 适用:该技巧对不支持数据包重组功能的老旧防火墙效果显著,典型代表如部分企业仍在使用的旧版 Cisco ASA 设备。
- 注意:
- 现代主流防火墙(如 Palo Alto、华为 USG)均具备完善的数据包重组能力,该技术大概率失效。
- 数据包拆分后会增加传输耗时,扫描速度明显变慢,可搭配
-T4参数优化效率,命令为sudo nmap -f -T4 -sS 10.10.10.178。
2 自定义最大传输单元
2.1 技术原理
MTU(最大传输单元)指网络中可传输的单个数据包最大长度,以太网环境默认 MTU 值为 1500 字节。防火墙常针对标准 MTU 尺寸的数据包制定严格检测规则,Nmap 的--mtu参数可自定义数据包 MTU 值(需为 8 的倍数,常见可选值如 1480、1472 等)。通过发送非标准 MTU 尺寸的数据包,可避开防火墙针对标准流量的拦截策略,本质是报文分段技术的灵活进阶版本。
2.2 实操命令
若目标主机 10.10.10.178 的 443 端口被防火墙基于 MTU 1500 的规则过滤,可自定义 MTU 值进行探测,命令如下:
sudo nmap --mtu 1480 -sS 10.10.10.178 -p 443 # 自定义MTU 1480,扫描443端口 执行结果示例
结果解读
将 MTU 值设置为非标准的 1480 后,数据包长度脱离防火墙预设检测范围,拦截规则失效,可成功探测到 443 端口的实际开放状态。
2.3 适用场景
- 适用场景:当防火墙针对默认 MTU 1500 字节数据包设置专项检测规则,或
-f参数的分段效果不佳时,自定义 MTU 是更优选择。 - 注意事项:
- 自定义 MTU 值必须严格遵循 8 的倍数规则(如 1480=8×185、1472=8×184),否则命令会直接报错无法执行。
- MTU 最小值建议不低于 64 字节,过小的数据包可能被防火墙判定为无效流量直接丢弃。
3 诱饵隐藏扫描
3.1 技术原理
防火墙的核心检测逻辑之一是识别单一源 IP 的高频请求行为,以此判定扫描攻击。Nmap 的-D参数可生成多个虚拟诱饵 IP,这些 IP 可随机生成或手动指定固定地址,与真实扫描 IP 同步发送探测数据包。目标主机的日志会记录多个 IP 的并发请求,防火墙无法精准区分真实扫描源,从而实现真实 IP 的隐藏,避免被纳入黑名单。
3.2 实操命令
对目标主机 10.10.10.178 进行扫描时,可配置 3 个随机诱饵 IP 与 1 个内网网关固定诱饵 IP(10.10.10.1),命令如下:
sudo nmap -D RND:3,10.10.10.1 -sS 10.10.10.178 # 3个随机诱饵+1个固定诱饵 执行结果示例
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 09:50 CST Nmap scan report for 10.10.10.178 Host is up (0.00068s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # 关键:目标防火墙日志会记录以下IP的请求,无法定位真实扫描端 # 诱饵IP:10.10.10.1(固定)、10.10.10.56(随机)、10.10.10.123(随机)、10.10.10.201(随机) # 真实IP:未单独记录,混在诱饵中 Nmap done: 1 IP address (1 host up) scanned in 2.15 seconds 结果解读
扫描执行后,目标防火墙日志会同时记录多个 IP 的访问请求,包括固定诱饵 IP 10.10.10.1、3 个随机生成的诱饵 IP(如 10.10.10.56、10.10.10.123、10.10.10.201),真实扫描 IP 的请求会混在其中无法区分,有效规避了单一 IP 被拉黑的风险。最终探测结果显示,目标主机 22、80、443 等端口处于开放状态。
3.3 适用场景
- 适用场景:该技术适用于公网渗透测试等需要隐藏真实 IP 的场景,尤其适合对远程目标服务器的匿名探测。
- 注意事项:
- 诱饵 IP 需选择可达的有效地址,比如内网网段内的闲置 IP,无效 IP 发送的请求易被防火墙识别为异常扫描。
- 诱饵数量建议控制在 3-5 个,数量过多会大幅增加扫描耗时,数量过少则无法达到有效的隐藏效果。
4 源地址欺骗
4.1 技术原理
部分防火墙会配置 IP 白名单访问控制策略,仅允许特定可信 IP(如内网管理 IP、合作伙伴服务器 IP)访问目标端口。Nmap 的-S参数可将扫描数据包的源 IP 地址伪装为白名单中的可信地址,防火墙验证源 IP 符合信任规则后,会允许请求通过,从而绕过 IP 过滤机制实现扫描。
4.2 实操命令
假设目标主机 10.10.10.178 的防火墙仅允许内网管理 IP 10.10.10.2 访问 3389 端口,可通过伪装源 IP 进行探测,命令如下:
sudo nmap -S 10.10.10.2 -sS 10.10.10.178 -p 3389 # 伪装成10.10.10.2(白名单IP) 执行结果示例
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:00 CST Nmap scan report for 10.10.10.178 Host is up (0.00071s latency). PORT STATE SERVICE 3389/tcp open ms-wbt-server # 原本被IP过滤的3389端口,现在显示open(伪装生效) Nmap done: 1 IP address (1 host up) scanned in 0.85 seconds 结果解读
源 IP 伪装为白名单中的 10.10.10.2 后,防火墙放行该请求,扫描结果显示 3389 端口(ms-wbt-server 服务)处于开放状态,表明地址欺骗生效,成功绕过了 IP 过滤限制。
4.3 适用场景
- 适用场景:适用于已知防火墙 IP 白名单的场景,比如内网渗透测试中已获取管理 IP 信息,需访问被 IP 限制的关键端口时。
- 注意事项:
- 伪装的 IP 地址必须在防火墙白名单范围内,且扫描端与目标主机需保持通信可达,同网段环境下效果最佳,跨网段需依赖路由转发支持。
- 由于目标主机会将响应数据包发送至伪装 IP,而非真实扫描端,可能无法直接接收响应结果,建议搭配
-Pn(跳过 ping 检测)和-v(详细模式)确认扫描执行状态。
5 源端口欺骗
5.1 技术原理
防火墙多针对数据包的源端口配置访问控制规则,常见策略是仅允许源端口为 53(DNS 服务)、80(HTTP 服务)、443(HTTPS 服务)等常用业务端口的请求通过,这类端口被默认为正常业务流量。Nmap 的--source-port参数(简写为-g)可手动指定扫描数据包的源端口,通过伪装成防火墙信任的正常业务端口,规避其端口过滤机制,实现扫描流量的放行。
5.2 实操命令
若目标主机 10.10.10.178 的防火墙仅允许源端口为 53(DNS)的请求访问 80 端口,可通过指定源端口的方式探测,命令如下:
sudo nmap -g 53 -sS 10.10.10.178 -p 80 # 指定源端口53(DNS),扫描80端口 执行结果示例
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:10 CST Nmap scan report for 10.10.10.178 Host is up (0.00065s latency). PORT STATE SERVICE 80/tcp open http # 原本被源端口过滤的80端口,现在显示open(端口欺骗生效) Nmap done: 1 IP address (1 host up) scanned in 0.78 seconds 结果解读
扫描数据包的源端口被伪装为 53 后,防火墙将其判定为 DNS 关联的正常 HTTP 请求,未执行拦截操作。扫描结果显示 80 端口处于 open 状态,表明源端口欺骗成功,有效绕过了防火墙的端口限制规则。
5.3 适用场景
- 适用场景:适用于防火墙配置了源端口白名单的环境,尤其当目标端口被限制仅允许常见业务端口访问时,该技术效果显著。
- 注意事项:
- 指定的源端口不能被本地其他服务占用,例如本地已启动 DNS 服务时,端口 53 处于占用状态,执行命令会直接报错。
- 优先选择 53、80、443 等高频使用的业务端口,这类端口被防火墙纳入信任范围的概率更高,欺骗成功率也随之提升。
6 附加随机数据
6.1 技术原理
入侵检测系统(IDS)多依赖 Nmap 标准探测包的固定特征(如固定数据长度、无额外附加数据)识别扫描行为。Nmap 的--data-length参数可在探测包中添加指定字节数的随机数据(如 100 字节),通过改变数据包的原有特征,让 IDS 的特征库无法精准匹配,从而绕过其检测机制。
6.2 实操命令
对目标主机 10.10.10.178 进行扫描时,可在探测包中附加 100 字节随机数据,命令如下:
sudo nmap --data-length 100 -sS 10.10.10.178 # 附加100字节随机数据 执行结果示例
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:20 CST Nmap scan report for 10.10.10.178 Host is up (0.00073s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # 关键:IDS未识别到扫描流量(因数据包含100字节随机数据,特征不匹配) # 未用--data-length时,该扫描会被IDS拦截,端口显示filtered Nmap done: 1 IP address (1 host up) scanned in 1.32 seconds 结果解读
未使用--data-length参数时,扫描流量会因匹配 IDS 中的 Nmap 标准包特征被拦截,端口状态多显示为 filtered;附加 100 字节随机数据后,数据包特征发生改变,与 IDS 预设规则不匹配,未被拦截。最终探测到目标主机 22、80、443 等端口处于开放状态,扫描达到预期效果。
6.3 适用场景
- 适用场景:该技术对依赖固定特征库检测的 IDS 效果明显,例如旧版 Snort 等传统入侵检测系统,需模糊扫描流量特征时可优先使用。
- 注意事项:
- 随机数据长度建议控制在 50-200 字节区间,长度过小则难以改变数据包核心特征,过大可能被防火墙判定为异常流量直接丢弃。
- 对基于行为分析的 IDS(如采用机器学习算法的检测系统)效果有限,这类系统不依赖固定特征,而是通过流量行为模式识别异常。
7 MAC 地址欺骗
7.1 技术原理
局域网环境中的防火墙或交换机,部分会基于 MAC 地址配置访问过滤策略,仅允许特定可信设备(如内网打印机、核心服务器)的 MAC 地址访问目标资源。Nmap 的--spoof-mac参数可将扫描数据包的源 MAC 地址伪装为该信任列表中的地址,二层网络设备(如交换机)会将其判定为可信设备的请求,不执行拦截操作,从而实现绕过。该技术仅适用于局域网环境,因 MAC 地址属于二层通信标识,无法跨路由进行传输。
7.2 实操命令
假设目标主机 10.10.10.178(同局域网内)的交换机仅允许 MAC 地址为00:0C:29:12:34:56(内网打印机)的设备访问,可通过伪装该 MAC 地址扫描,命令如下:
sudo nmap --spoof-mac 00:0C:29:12:34:56 -sS 10.10.10.178 # 伪装成打印机MAC 执行结果示例
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:30 CST Nmap scan report for 10.10.10.178 Host is up (0.00069s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http # 关键:交换机未拦截请求(因源MAC是信任的打印机MAC) # 未伪装时,扫描被交换机MAC过滤,端口显示filtered Nmap done: 1 IP address (1 host up) scanned in 0.92 seconds 结果解读
源 MAC 地址伪装为信任的打印机地址后,局域网交换机未对扫描请求进行拦截,成功探测到目标主机 22、80 端口处于开放状态。未伪装时,扫描请求会被 MAC 过滤规则阻断,端口状态显示为 filtered,对比可见欺骗效果显著。
7.3 适用场景
- 适用场景:主要用于局域网渗透测试,例如内网环境中需绕过交换机的 MAC 白名单限制,访问被管控的目标主机时。
- 注意事项:
- 伪装的 MAC 地址需符合标准格式(如
00:0C:29:xx:xx:xx,VMware 虚拟设备默认 MAC 前缀),可通过arp -a命令查看目标网段内的可信设备 MAC 地址。 - 跨路由扫描时该技术完全无效,因为路由转发过程中会将数据包的源 MAC 地址替换为网关设备的 MAC 地址。
- 伪装的 MAC 地址需符合标准格式(如
8 总结
Nmap 防火墙绕过技术的核心逻辑,均围绕利用防火墙 / IDS 的规则漏洞展开,通过改变数据包特征、隐藏真实访问源、伪装可信身份等方式,规避拦截机制。不同技术的适用场景与核心要点存在差异,实际应用中需结合目标网络环境(如局域网 / 公网)、设备类型(老旧 / 现代防火墙)、防护规则(IP / 端口 / MAC 白名单)等因素选择合适方案。
往期推荐
新版BurpSuite v2025.6.3汉化版,附激活教程
重大更新!FeatherScan v4.5 内网 linux 信息收集,提权一键梭哈神器
FeatherScan v4.0 – 一款Linux内网全自动信息收集工具
近400个渗透测试常用命令,信息收集、web、内网、隐藏通信、域渗透等等
内网渗透必备,microsocks,一个轻量级的socks代理工具
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
内网渗透必备,microsocks,一个轻量级的socks代理工具
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!绝对干货!
DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
红日靶场3,joomla渗透,海德拉SMB爆破,域内5台主机横向移动教学
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容