Teknik ini akan mengenerate atau menentukan secara manual IP address untuk decoy. Target akan melihat baik IP decoy dan source melakukan scanning. Teknik ini akan membuat IDS/Firewall sulit menentukan mana yang melakukan scanning dan mana yang decoy.
Pada nmap sudah tersedia built-scan yaitu decoy scan. Teknik akan mengenerate beberapa IP address untuk melakukan scan. Hal ini menyebabkan IDS/Firewall sulit menentukan original source, IDS akan melaporkan terdapat sekian IP address melakukan scanning, namun tidak bisa menentukan IP mana yang sesungguhnya melakukan scanning.
Nmap mendukung auto generate atau manual IP decoy setting.
Perintah auto generate
nmap -D RND:10 [target], contoh target adalah IP 10.10.10.10
$ namp -D RND:10 10.10.10.10nmap akan mengenerate random IP decoy dan secara random menempatkan IP address sesungguhnya diantara IP decoy.
Perintah manual IP Decoy
$ nmap -D decoy1, decoy2, decoy2,…, ME,.. [target]
$ nmap -D 192.168.0.1, 172.120.2.8, 10.10.10.16, 10.10.10.5 10.10.10.10Disini kita buat ip decoy secara manual, pada contoh diatas IP asli adalah 10.10.10.16 dan IP target adalah 10.10.10.10, sisanya adalah IP decoy.
Teknik ini bagus untuk menyembunyikan real IP address, namun proses scanning tidak akan berhasil jika target menggunakan mekanisme seperti router path tracing, response dropping dan lainnya.
Menggunakan IP decoy juga membuat proses scanning menjadi lambat dan berpengaruh pada akurasi scan.