1 Shqiptar = 1 Web ==> “Webmasterizimi” i kalamajve Shqiptar

Ja ku po kthehemi ne realitetin e hidhur shqiptar..

Sot isha duke vizituar edhe njehere webet shqiptare, (shpresoj per here te fundit) te gjithe nga pak, mos tu ngeli hatri. Me ndodhi qe njerit ti beja nje pen-testing (lol  1/100 e ecuris normale)  dhe me skanimin e pare doli me mbi 600 blind sql injection vulnerabilitete dhe rreth 400 remote code execution, ky tipi ka server microsock dhe nje sit ne asp, mendova mah duhet te kene ndonje ide se per ç’fare behet fjale dhe mbas emailit (ku u çova raportin e vulnerabiliteteve), as qe ka levizur bishtin per ta ndryshuar, nejse puna e tyre.

Ndersa po vizitoja nje forum, vura re postimet e fundit, dhe fillova te qeshja..  Do te doja shum te mos e beja por ja qe u vu buza ne gaz. Tek “Temat e Reja” te ketij X forumi vura re qe te gjitha postimet qe ishin bere ishin ne seksionin “Faqe Shqiptare” dhe te gjith ata qe postonin benin thjesht rreklam te faqeve te tyre bajate pa pik kuptimi. Ne fillim ka qene ne mod vbulletin, alla tbc-crew me ndonje shqiponje dykrenare dhe me nje LIDHU ME NA!!! qe linkonte ne forum.. U hap nje blog, uuu oburraaaaa te gjith blogjeeeee , kapeni se na iku ah qeniiii….veç po e mori vesh sali protopapa :S

E pse kjo do thoni?, sepse ska ngelur shqiptar pa hapur nje webfaqe personale, sa me hoste me pagese, sa me hoste free, e po behen me shume webe se sa shqiptare, prandaj sa hapet nje web shumica e postimeve jane rreklama te webmasterave te tjere per faqen e tyre, e vetem kur mbushen 2 faqe forum pastaj..

Mendoni se po u sulmoj?, jo nuk eshte ashtu, thjesht po perpiqem tju jap realitetin e asaj qe jeni dhe te ndryshoni drejtim sepse nuk behesh webmaster vetem me njohurit : wordpress (instalimi jo me shum), vbulletin, filezilla, mysql dhe chmod.  Nese do u sulmoja do thoja vbkiddie, kalamawordpress. Ja ndaloni nje moment dhe mendoni, e mbushet faqen plot me muzik, lajme si ( firefox ka publikuar betan, google chrome, vidjoja e javes apo ku ta di une se ç’fare u shkon neper mend), ja edhe moret nje tuf bagetish per vizitor qe nuk u plas shum se si e shpenzojn kohen dhe a kane perfitime nga koha qe jane duke shpenzuar, cili eshte perfitimi i kesaj faqeje? ç’fare u jepni vizitoreve? dhe akoma me mire, CILI ESHTE NDRYSHIMI JUAJ NGA 101 Klonet qe gjenden ne net?

Me kete nuk dua te hedh posht punen e askujt qe perpiqet te japi diçka origjinale, por si keta mund te numurohen me gishta te tjeret jeni mere me lang se mishi u hang thot populli. Mendoni per ato qe jane shkruajtur, dhe mos u tregoni me shqiperine aq te keqinj saç eshte treguar shqiperia me ju, jepini diçka e mos ja merrni edhe ato pak tru qe i kan ngelur. Te sherbesh ka thene dikush eshte Cilesi Hyjnore, kur nuk di ta besh me mire meso e mesimi nuk merret ndryshe vetem se me durim, e nese nuk i ke as keto te dyja hap kraun e mos ngarko internetin kot. Jan ber te gjith kalamajt me webe, e perveç spamit spo shoh gje tjeter verdall.

Ah, gallata me  e madhe ishte kur pash nje tip ne foto qe i kishte nja 13 vjeç, e ishte sikur e kishte peshty lopa dhe thoshte: “firma INC (:L INC HAHAHAH)” sherbime web hosting 100% te sigurta,,..

100% te sigurta?  100% te sigurta? hahahaha, po ç’te presesh tjeter, femij u falet por i ftoj ‘ata qe perpiqen te bejn diçka ne atmosferen e netit shqiptar’ qe ti denoncojn keto fenomene dhe te pastrojn dhe veten e tyre pasi pak jane qe jane komplet te paster nga cilesit e ktyre copy\paste.

PS, ti tipi i firmes INC, sa per info siguria eshte thjesht nje koncept per ti bere njerezit me te sigurt, /fjale, premtime, fushat elektorale, dhe perderisa je ne planetin TOKE nuk eshte asnjehere 100%. Ja, lexo pak me posht dhe do e kuptosh se per ç’fare behet fjale ( gjithmon nese merr vesh se per ç’fare flitet).

DR-DOS – ta çojm kete teknik ne nje nivel tjeter.

Jemi perseri me temat rreth siguris ne informatik..
Kesaj rradhe me nje teme pak me te frikshme se te zakonshmet 😀

Eh, e di DR-DOS eshte tashme nje teknik shume e vjeter, por duke menduar mbi postimet e fundit ketu ne albanianwiard.org  dhe nje aplikacioni si ftester i shoqeruar me nmap kjo teknik mund te shnderrohet vertet ne nje makth te mirfillt.

Une nuk mbaj asnje lloj pergjegjsie per informacionin e meposhtem, dhe falenderoj Zotin qe script-kiddiez nuk dine mire programim sepse do shihnim webe qe ca dite jane online e ca dite te tjera ofline.
Keto informacione jane vetem per qellime edukative dhe me e rendesishmja:
a) Zhvillimin e te menduarit
b) Mesimit se ke nje tru, dhe nese e perdor ka frute (ja pse te tjeret kane rezultate te tjera nga ti)
c) Te menduarit ben diferencen, dhe ben qe te zhvendosesh nga stadi ‘copy-paste’ ne ‘brain-fuck’

Dy fjale per sulmin DRDOS ose Distributed Reflection Denial of Service, qe rrjedh nga DDOS e ky nga ai me i vjetri DOS…
Nese nuk dini se ç’fare eshte nje DOS e nje DDOS atehere, hidhini nje sy neper web, ndryshe do e keni pak me te veshtire per ti kuptuar gjerat..
Atehere fillojm ngaaaaaaaaa…..

HANDSHAKE

Ne baze te ligjeve te networkut njihet qe ne protokollin TCP qe Daku me Pakun te komunikojn me njeri-tjetrin duhet te ndodhi nje handshake..
Nje pakete qe del nga kompiuteri mund te kete si Flamur (flag) SYN , ACK, NULL, FIN, URG, e keshtu me rradhe pra ne baze se ç’fare eshte dhe ç’fare kerkon te bej..
Nuk po e komplikojm shume..
Daku do te lidhet me Pakun… Si i behet?
Daku ==== SYN (kerkese per sinkronizim) ======>>> Paku
Paku =====SYN/ACK (e njohu kerkesen per sinkroniim =====>>>Daku
Daku =====ACK===(Ok, fillojm te flasim)======>>>Paku

Ok, e morem vesh, pra keto jane siç quhen fazat pergatitore per fillimin e komunikimit midis clientit dhe serverit.
Vijm tek DR-DOS..
Siç e dime Denial of Service ne thelb konsiston ne ate qe ti mohoet sherbimi nje serveri e ne fjale te tjera te konsumohet bandwithi dhe serveri mos te jete ne gjendje qe tu pergjigjet paketave SYN, ..po po SYN sepse dergohen vetem paketa SYN ne seri dhe duke qene se dergohen me shumic brenda nje kohe shume te shkurter serverit te sulmuar i grumbullohen kerkesa per lidhje nga shume ane (ne rastin e DDOS) dhe nuk mund ti menaxhoj e keshtu del offline.Por ne rastin e DR-DOS kemi diçka shume me te “bukur” per ata qe e shohin si shkenc kete qe po flasim dhe “shpifur” per ata qe i keqperdorin keto njohuri.
Ne kete rast sulmuesi nuk ka te bej fare me viktimen, dhe ai te themi te drejten nuk kontakton aspak me te..
Po, poo…. hmmm po si ja ben?

Per Raw Socket keni degjuar?
Ky “tipi” te lejon te modifikosh headerin e paktave qe dergon kompiuteri yt ne net, shume programe si nmap, ftester, hping3 , unicornscan, e keshtu me rradhe e perdorin dhe si e modifikon headerin?
SPOOFING 😀
Kjo eshte me interesantja e ketij sulmi, pasi sulmuesi modifikon headerin e paketave (SYN) normalisht  dhe tek kjo paket normalisht eshte e shkruajtur ndermjet te tjerave:
IP-ja Origjinare (IP-ja qe ka kerkuar lidhjen)
IP-ja e Destinacionit (Normalisht Destinacioni)
FLAG (Lloi i paketes , [Syn, Syn-ack, fin, null, e keshtu me rradh]
Keto mund te modifikohen shume thjesht me ane te Raw  Socket dhe gjeje pak 😀
Tek ip-ja origjinare vendosim Ip-n e viktimes, Flag do te jete normalisht SYN, e destinacioni… eh destinacioni xD
Destinacioni do te jene Routerat me te fuqishem qe lidhin sot nyjet kryesore te internetit.
Por routerat do e bllokojn sulmin ton fload … hehehehe, pikerisht ketu eshte e bukura sepse nuk do te behet asnje fload..
Po e shpjegojm shpejt e shpejt, nese une i çoj nje paket serverit X (e ne realitet ip-ja nuk eshte imja por eshte e viktimes) serveri X do i pergjigjet IP-s qe shikon ne paket me nje SYN-ACK dhe kete SYN-ACK nuk na e dergon neve, por ip-s qe eshte tek paketa TCP dhe ne kete rast viktimes i vjen nje pakete e vlefshme SYN-ACK te cilen nuk di se ku ta çoj dhe vet nuk i dergon tjeter pasi ne realitet nuk i ka derguar asnje SYN (paket per sinkronizim) e serveri tjeter pret paketen ACK per te kompletuar handshake por ajo nuk vjen keshtu qe ç’fare te bej?, i çon dhe 2 paketa te tjera SYN-ACK duke menduar se paketat nuk kane arritur dhe mbas kesaj e le lidhjen duke e trajtuar viktimen si offline.
Eh, 3 paketa vertet nuk bejn shume pune, po imagjinoni sikur ti dergojm ç’do 2 sec nga 1 paket 200 routerave core, 😀
Eh, do te gjenerohej nje trafik 200 x 3 = 900 paketa SYN-ACK per sekond, e imagjinoni sikur lista e routerave apo serverave te ishte 2000 dhe jo 200 dhe makinat nga po dergohet sulmi te ishin 10 dhe jo 1 … emmmm…. BUM!!!
Tamam, viktima do te binte ofline per sa kohe qe te vazhdonte sulmi, dhe ky eshte pak a shume nje DR-DOS, dhe quhet Reflection pasi sulmi nuk gjenerohet as nga Zombie dhe aq me pak nga 1 makine, por nga serverat dhe routerat me te fuqishem, ose me sakt nga nyjet kryesore te internetit te cilat pa dieni perdoren si mjet per sulm dhe realisht paketat SYN-ACK qe dergojn jane te rregullta dhe asnjera nga ato nuk eshte e pavlefshme.
Ok, shpresoj se e kemi te qarte dhe per ata qe ja kane idene sigurisht qe jemi te qarte perkundrazi, ç’fare na the ore Ardit keto gjera i dime, DRDOS ka qe ne 2001shinq e ka dale ne qarkullim…
Eh, e di, tani te kalojm tek nje zhvillim proof of concept i kesaj teknike.
Jane thjesht mendimet e mia, normalisht nuk e kam aplikuar dhe as qe besoj se do e aplikoj vetem nese dikush do te ngeli per ca ore offline lol, po keto gjera jane dhe te denushme nga ligji.
Ja se ç’fare po mendoja..
Me ane te nmap, ne mund te krijojm map-en e nje hosti, routerave qe e rrethojn , tani nuk eshte njelloj si cheops-ng (ky eshte per networkun e brendshem) por ja vlen. E per aryse nuk po jap as komandat qe mund te sjellin rezultate te tipit:

Me kete dua thjesht te hedh idene, qe:
Mund te krijohet nje map e te gjith routerave\serverave\hosteve qe jane te lidhura me viktimen, dhe mund te merren adresat ip te tyre.
Mbasi behet kjo gje fillohet nje analizim i holle i secilit prej ketyre hosteve duke pare se ç’fare portash kane te hapura, dhe me ane te aplikacioneve si firewalk\ftester mund te testohen se deri ne sa paketa syn (pa synack) pranojn perpara se ti bllokojn, analizohen portat e perdorura dhe  ne baze te tyre te ndertohet nje aplikacion i cili do te bej spoof ip-te e tyre te cilat jane ngjitur me viktimen dhe ne kete menyre (duke qene se jane dhe me afer dhe paketat shkojn me shpejt) viktima do te gjendet ne mes te nje kaosi total, pasi paketat i vin nga te gjitha drejtimet, hidhini nje sy skemes:
http://albanianwizard.org/ngarkime/zenmap.jpg
Pse kjo?
Sepse nese nje server ndodhet nen kete lloj sulmi, nese Administratori i ISP-s eshte i zgjuar, do te bllokonte paketat qe vijn nga nje trung lidhjeje , eshte si puna e lumenjve psh paketat per te ardhur ne det perdorin lumin vjose, ndersa Administratori bllokon lumin vjose dhe lejon shkumbinin, danubin 😛 etj atehere sulmi nderpritet edhe pse me kete levizje Administratori bllokon nje pjese te mire te internetit dhe hedh posht shume klient qe duan ta perdorin ate server por shpeton ne te njejten kohe serverin.
Ndersa kjo qe thash me siper, do e bente te pamundur te kuptohej se nga vjen sulmi ne realitet pasi viktima do te gjendej ne qendren e ciklonit dhe tafti bafti ne keto pune nuk behet, do te duhej pak kohe derisa Administratori (po flas per ata me shkolle) te instalonte sniferat ne te gjitha hostet lokale dhe te kuptonte se nga realisht vjen ky sulm.
Nga ana tjeter metoda te tjera mbrojtjeje si psh mbyllje e portes se sulmuar apo mbyllje e portes nga e cila vjen paketa do te ishte feminore pasi mjafton nje algoritem dhe sulmuesi mund te perdorte source porta me nje rreze  po e zem nga 40000-50000 (normalisht portat qe perdor clienti per tu lidhur me nje server jane te larta, kurse portat qe perdor serveri per tu lidhur me client jane te vogla, mjafton te monitoroni per disa çaste portat qe perdor kompiuteri juaj per te komunikuar me porten 80 te google.com)
Kaq per kete, nuk do te thote qe nuk e kam zhvilluar me shume si koncept porse ne kete rast eshte me mire ta mbyllim me kaq :)
Shendet.

Perqindja e Defacement duhet te bieri ndjeshem | Mbyllet Milw0rm

Disave do u duket lajm i keq, mua jo dhe aq…
Nuk dua te zhvleresoj punen e askujt dhe as te strOke por Milw0rm vitet e fundit kishte marre me verte nje form te shpifur.
Ishte qendra e sKr1pT Kid3Iz per te gjetur exploit te gatshem, e tashme nuk eshte me, per shkak se str0ke nuk ka mundesi per ta mirmbajtur me, e per te kontrolluar exploitet..
Jam i mendimit qe vulnerabilitetet duhet te publikohen por te pakten ti lihet pak kohe te infektuarit qe te bej patch,,, kush e di se sa e sa webe kane pesuar per shkak te exploiteve te milw0rmit..
Gjithsesi, ka webe te tjere dhe packetstormsecurity eshte i ngjashem me te, e keshtu… defacements do te ulen ndjeshem e nga ana tjeter iku nje database shume i mire me source code te vlefshme.
Ka te mirat dhe te keqiat e veta.

AVG Internet Security – Firewall Bypass

Pershendetjeeeee,
ja ku po i kthehemi dhe njehere siguris,… kesaj rradhe me nje teme goxha te veçant e cila evitohet te trajtohet nga te gjithe pak a shum pasi nga njera ane, jane kompanit qe prodhojn firewalle \ IDS \IPS \NIDS, dhe spara duan keto lloj materialesh e nga ana tjeter dhe ata qe perdorin teknika per bypass apo firewalking siç quhen nuk duan te hapin edhe aq shume informacion pasi vete ata jane si shefa sigurie ne ndonje kompani dhe keto jane pak informacione te rezervuara :)
Une nuk mbaj pergjegjesi per perdorimin e tyre per qellime negative, keto jane vetem per zhvillimin e horizontit dhe zgjerimin e njohurive.
Kesaj teme do i drejtohemi ne 2 prespektiva te ndryshme, ne prespektiven e atij qe thjesht po teston qe do e quajm PLAYER, e ne prespektiven e atij qe realisht i intereson dhe merret me keto pune.. Penetration Testerit apo “Hackerit” siç quhet nga masa..
Kjo teme nuk eshte per script kiddiez keshtu qe nese jeni duke lexuar, go sql-inject something xD.

PLAYER

Ne kete nivel jam dhe une qe po beja qejf (testing) me firewallin e shokut tim i cili ka nje windows xp :( + avg internet security te fundit, e as nuk di se kush eshte i fundit pasi nuk me interesojn antiviruset te gjith ta shpifin pa perjashtim.Keshtu qe meqenese ata ta shpifin thash ti hedhim nje sy firewallit..
Kjo pak a shum eshte pamja kur kemi te bejm me nje network ku kemi nje firewall hardware dhe nje kompiuter mbas tij..

Por rasti im nuk eshte ky, ne kete rast ku une duhet te luaj pak me kompiuterin , vete hosti (kompiuteri) eshte firewall dhe luan rolin e tij duke filtruar lidhjet me networkun qoft te brendshem qoft te jashtem.
Keshtu qe , do merremi pak me firewallin.
Per te mos e komplikuar shume si teme , po permend vetem ato qe mund ti behen ketij firewalli me nje aplikacion te njohur si nmap (po i le menjan hping3, ftester, firewalk etj)
Le te testojm dhe firewallin tone…
Ne kete rast, une kam ip 192.168.1.100 kurse viktima ka ip 1 me shum (192.168.1.101).
Ne keto raste e dime qe firewalli meqenese eshte i axhornuar dhe eshte i vitit 2009 e dime qe do te bej filtrim dhe e rendesishme eshte per ne qe mos te regjistrohen loget e skanimit ne firewall, normale bypass dmth qe duhet te bypass-ojm rregullat e firewallit \filtrimit keshtu qe si i behet?
Per kete na vijn ne ndihm keto opcione tek nmap (v 4.7x)
-T (T0 deri tek T5)
-f ose –mtu
-D , decoy
dhe si gjithmon tradicionali half-open scan me opcionin -sS (SYN Scan).
-T eshte koha ne baze te se ciles nmap do te çoj paketat -T 5 eshte maksimumi i paketave qe do te çoj (normalisht kerkon nje network te shpejt dhe nje ip te afert [perdor –traceroute per info] dhe -T 0 dhe -T 1 ne keto raste jane opcionet me te mira pasi i çojn nga nje paket here mbas here por ashtu siç paketat dergohen shume ngadal duhet te kemi te qarte qe dhe skanimi do te jete shume i ngadalt dhe mund te zgjasi 18 ore , e per te evituar kete keshillohet te perdoret dhe opcioni -F per te skanuar portat me te zakonshme.
-f eshte fragmentation attack, dhe nuk eshte asgje tjeter perveç se te ndaj paketat ne paketa me te vogla gje qe ndodh shume shpesh qe hoste windows nuk e suportojn (hostet linux e suportojn) e ne kete menyre behet bypass analizuesve te paketave pasi behet i veshtire analizimi i paketave ndersa -D decoy eshte nje lloj sulmi tjeter i cili i thote targetit qe po sulmohet nga ip qe i percaktojm ne, nderkohe qe tonen perpiqet ta fsheh.
Si fragmentation attack me -f (qofte dhe me opcionin me te avancuar –mtu duke i bere split paketave ne 8 bit secila) ashtu dhe -D nuk funksionuan me Firewallin e AVG dhe firewalli mbajti loget e skanimit.
Perpara se te fillojm njeher, me macchanger ndryshojm mak adresen tone keshtu qe nuk kemi nevoje ti bejm spoof ne momentin qe perdorim nmap, e keshillueshme eshte te perdorim nje host qe eshte i besueshem tek viktima.
Vazhdojm, me skanimet e bera ky Firewall filtrat e tij ne pergjithesi i kishte te bazuar ne koh dhe asgje tjeter xD, keshtu qe per ti bere bypass e per te mos rregjistruar skanimin ne loget e tij mjafton qe te perdorim opcionin -T0 apo -T1 dhe firewalli nuk do e regjistroj aktivitetin e skanimit.
Po ashtu, nese bejm ip spoofing psh:
nmap -S 127.0.0.1 –mtu 8 -sS -A -T 5 -f -p0-65535 -PN 192.168.1.101 -e wlan0
Ne kete rast paketat firewallit i vijn nga localhost dhe edhe pse trafiku eshte ne maksimum ai nuk i shikon paketat qe i dergohen, kjo ip mund te jete dhe serveri qe ben update antivirusi dhe gjithashtu firewalli nuk do e regjistroj as kete aktivitet porse ne kete rast skanimi nuk do te jete konstruktiv sepse skanimi do i pergjigjet ip-s qe eshte ne headerin TCP e jo neve (pra do i pergjigjet 127.0.0.1-shit dhe jo neve) po atehere cili eshte perfitimi i ketij skanimi?
Do e shohim tek pjesa e dyte.
E mira e ketij firewalli eshte se i filtronte te gjitha portat qe nga 0 deri tek e fundit 65535, biles pash qe te bllokonte dhe vet trafikun e brendshem (netbios) midis portave 138-139 edhe pse ky ishte UDP.
Po ashtu filtronte dhe kerkesat ICMP\IGMP.
Keshtu qe perfundimi per kete firewall eshte qe mund ti behet bypass duke evituar qe te kapesh , porse ky skanim ne kete rast eshte pa dobi pasi kemi skanuar nje laptop personal i cili nuk ofron asnje sherbim dhe per me teper eshte ne nje intranet.
Gjate skanimeve eshte shume e keshillueshme qe te perdoret wireshark per te pare nese realisht po ndodh ajo qe i kemi komanduar nmap-it (psh ne disa raste ndodh qe nuk ben copetimin (-f) e paketave).
Po realiteti kur kemi te bejm me korporata eshte ndryshe :), sepse ato ofrojn sherbime dhe qe te ofrojn sherbime duhet te kene ndonje port hapur 😀

PEN-TESTER

Eh, ne kete rast behet seriozisht :)
Tani nuk kemi me nje kompiuter, por kemi nje IDS te mire e te modifikuar nga nje ekspert e ne kete rast bllokon dhe sulmet Xmas scan, Fin Scan, e sidomos sS Syn Scan i cili eshte me i perdoruri per keto pune..
Ne kete rast kemi dhe nje IPS (intrusion prevention system) , si dhe Honyepot.
Nuk do ua mbush mendjen me budallalleqe e tu them se eshte diçka e lehte, e sidomos me rastin e Honeypot, per keto gjera duhet eksperienc, njohuri dhe mbi te gjitha nje intuit e tmerrshme, e si i behet hallit kur kemi te bejm me keto raste?
Ne psh, e dim qe ‘ata’ e kane nje port te hapur (perderisa jane kompani dhe ofrojn sherbime) po cila.. ?
Keshtu qe duhet te skanojm:

Rregulli 1.
Ku ta çojm ip-n ore :S, po mac adresen?, keshtu qe  do te perdorim  opcionin -sI e ç’fare eshte ky opcion?
Do i dergojm paketat ndermjet nje makine tjeter, qofte ky server diku qe eshte nen kontrollin tone, e keshtu  te pakten nuk do  te shohim ip-n tone nese nuk bejn kerkime  ISP mbas ISP-je e idealja eshte psh qe te kemi nje server ne rusi, po ne kine apo diku ku autoritetet te mos kene forc per te shkuar atje e per te marre vesh se kush ka qene roshi 😉
E keshtu pra ky opcion -sI na lejon qe te specifikojm nje host tjeter, e kjo eshte kryesore ne keto lloj rastesh.
Ne nderrim te kesaj, do te sugjeroj nje teknik tjeter shume me te mire 😀
E zeme se ne kemi nje server ne  korene e veriut nen sundimin tone, dhe ai ka nje ip po e zem  127.127.127.127 :P, atehere ne i bejm spoof ip-s dhe tek serveri ne kohen e skanimit instalojm nje snifer i cili do te rregjistroj te gjitha paketat qe do vijn e po ju kursej se kur vjen ACK eshte porta e hapur etj etj etj .
Keshtu ne kete form, ne mund ta dergojm skanimin nga nje ZOMBIE nderkohe qe hosti do i pergjigjet paketave ne nje server qe nga ana e tij eshte ne qetesi dhee gjith kjo nga nje IP spoofing e adreses se serverit.
Normalisht mos harroni te nderroni mac adresen.
Rregulli 2.
-T 0 (pranaoid) duke derguar sa me pak paketa qe te jete e mundur ose mund te specifikojm dhe vet ne kohen qe duhet te presi nmap mbas dergimit te nje pakete, me te vertet do shume kohe por nese ja vlen barra qirane atehere dhe durimi eshte pjese kryesore.
Rregulli 3.
Po mir mo zoti Ardit, the qe ai Zoti CSO (Chief Security Officer) ka nje ids qe na bllokon ne si skanimin -sS\-sU\-sF\-sN\-sX atehere si i behet?
hehe, vertet egzistojn filtra ne IDS kunder paketave qe vijn me Flag SYN apo [] (null) apo FIN, apo URG, PSH, FIN siç eshte Xmas e si i behet hallit ketu?
Ketu vjen ne ndihme opcioni –scanflags duke krijuar nje lloj skanimi te personalizuar pasi IDS-ja psh ka rregullin qe te bllokoj vetem FIn scan, SYn SCAn, Xmas Scan, Null Scan e jo skanim te personalizuar siç mund te jete psh –scanflags SYNFIN (me flags te dyzuar) apo SYNACK, e keshtu me rradhe.
E nese ka filtra edhe per keta?, atehere kemi te bejm me NSA xD po ka perseri metoda bypass-i por nuk eshte as koha e as vendi per to (ps, thash qe do perdorim vetem nmap duke lene anash te tjeret 😉 ).
Rregulli 4.
Fragmentimi i paketave do te bej te veshtire analizimin e tyre, keshtu qe i japim nje –mtu 8 ose –mtu 16 ose –mtu 32 (  plotpjestohen me 8  ) ne menyre qe te ndajm paketat.
PS nese perdorni opcionin –mtu nuk perdoret me -f pasi me -f ju i lini nmapit te zgjedhi se ne sa bite do ti ndaj paketat ndersa me –mtu i specifikoni vet.
Rregulli 4.
Mos bej ping dhe mos bej reverse DNS. Jane ne demin tend keshtu qe po shtojm -PN dhe -n.

Finalizimi..
nmap -S 127.127.1.1 -n -sI 127.127.127.2:80 -PN –mtu 8 –scanflags SYNFIN -T 0 -F TARGET -e wlan0 –reason
Kete lloj skanimi po e pagezojm me SuperStealth pasi ne realitet paketat do te dergohen nga nje  kompiuter Zombie i cili eshte nen kontrollin tone dhe ne keto paketa IP-ja do jete e nje serveri tjeter (jo ip-ja e Zombiet) tek i cili do te kthehen pergjigjet nga hosti i skanuar (sepse i kthen pergjigjet tek IP-ja qe shikon dhe IP-ja eshte Spoofed qe do te thote se eshte e Serverit tone ne kore 8) ) e lind pyetja, kur pergjigjet ACK\SYN etj do te dergohen tek hosti atehere si do marrim vesh se cilat porta jane hapur e cilat jane mbyllur?
Tek ai host do te leme wireshark aktiv dhe ne perfundim te tij do te shohim te gjith aktivitetin e skanimit dhe do analizojm paketat me dore, per kete thash se nuk eshte pune per script kiddiez pasi duhet te njohesh lloin e skanimit –scanflags SYNFIN apo diçka tjeter dhe pergjigjet (ACK apo DROP, etj) qe jep nje host kur ka porta te mbyllura te hapura, apo te filtruara.
Komentojm skanimin.

127.127.1.1 eshte serveri yne ne korene e veriut 😛 ku kemi instaluar nje snifer i cili do te rregjistroj gjith trafikun e mbas perfundimit te skanimit do te kontrollojm me dore per pergjigje qe kane porta te hapura.
Me opcionin -S ne manipulojm paketat qe dergon nmap duke bere keshtu qe adresa derguese te jete 127.127.1.1 nderkohe qe skanimi realisht po behet nga zombi i cili gjendet ne adresen 127.127.127.2:80 (perdorem porten 80 pasi eshte nje port e zakonshme e ne varesi te targetit dhe sherbimit qe ofron behet dhe kerkesa per porten). -PN per te mos ber ping ICMP tek hosti duke marre persiper qe hosti eshte online, –mtu 8 per ti bere split paketave tona ne grupe prej 8 bitesh ne menyre qe te behet i veshtire analizimi nga IDS-t, apo nga Packet filtruesit. –scanflags SYNFIN per ta bere skanimin te pakapshem nga IDS-ja e kjo eshte me e rendesishmja, paketat nuk duhet te bllokohen nga Firewalli apo sistemet e ndryshme mbrojtese. -n per te kursyer kohen per te bere reverse DNS , -T 0 per ta bere dergimin e paketave shume te ngadalt nje menyre kjo e nevojshme per te bere evadimin nga sistemet e sigurise dhe mund te specifikojm dhe interface eth0, wlan0, ath0 varet se ç’fare karte rrjeti po perdorim dhe –reason per te pare aryen se pse nmap na ka dhene open\filtred\closed etj etj per nje port te caktuar.
Mbi kete normalisht duhet te dime se ne baze te skanimit ç’fare eshte pergjigja qe tregon per nje porte te filtruar e per nje porte te mbyllur e per nje honeypot xD 😉
Per kete nuk ka tutoriale.
Besoj se e shijuat deri ne fund, nese nuk keni kuptuar gje apo keni gjera qe nuk i kuptoni nuk eshte fai im.
Pyesni.