Nmap es una herramienta muy potente que permite a los auditores poder realizar análisis de puertos, pero en ciertas ocasiones dichos análisis van a dar problemas, como falsos positivos/negativos con ciertos puertos y servicios. Para ello, se deben utilizar ciertos parámetros de Nmap que permitan ofuscar la detección de un análisis de puertos.

Con el parámetro -p- se confirma que en la máquina no existe ningún puerto TCP adicional.

Ahora se pasa a revisar el protocolo UDP.

Llegados a este punto se puede detener el proceso de esnifado de Wireshark. Conviene revisar el volcado del tráfico con los hallazgos obtenidos.

Gracias a Wireshark se puede leer fácilmente el tráfico que se ha intercambiado en el proceso del análisis de puertos.

A continuación, lo que se debe realizar es confirmar el tipo de servicio. Se puede realizar de una forma muy sencilla con Nmap para hacer un análisis del tipo de servicio.

Se repetirá el análisis de puertos y servicios orientado a esos cinco puertos abiertos, pero ahora se añade el parámetro –f, que fragmentará las peticiones en el tamaño indicado en el parámetro --mtu.

El tamaño de los paquetes debe ser parejo al 8 (8 bits = 1 byte).

No obstante, queda la posibilidad de que la solución IDS/IPS pueda reconstruir los paquetes fragmentados para su posterior análisis, siendo entonces necesario añadir otra capa de evasión con el parámetro –D, que formará los paquetes del análisis para suplantar las direcciones indicadas en DIRECCIONIP (192.168.56.1 es la dirección IP que impersonificará).