Decoy scan

Il Decoy Scan è una tecnica applicabile alle scansioni di rete che permette di rimanere parzialmente anonimi, nascondendo i propri pacchetti di scansione (e quindi il proprio indirizzo IP) tra una folta moltitudine di pacchetti fittizi.

Questa tecnica utilizza lo spoofing degli indirizzi, per cui insieme ai pacchetti di scansione veri e propri vengono inviati anche parecchi pacchetti del tutto simili ma con un indirizzo mittente diverso dal proprio. Quando questi ultimi raggiungono la destinazione, il destinatario non avrà modo di distinguere tra i pacchetti veri e quelli fittizi.

L'indirizzo IP dell'attaccante sarà comunque visibile alla vittima ma per un eventuale IDS o amministratore di rete sarà più difficile identificare quale, tra tutte le scansioni ricevute, sia quella vera e quindi risalire all'indirizzo IP che ha effettuato la scansione.

I programmi che implementano questa tecnica permettono di specificare una lista di indirizzi IP. Il manuale d'uso di nmap consiglia di scegliere, per questa lista, indirizzi plausibili come ad esempio altri computer connessi alla stessa ora e di evitare invece indirizzi di reti di note corporazioni che difficilmente lanciano scansioni di questo tipo.