Nmap Xmas Scan

Nmap Xmas Scan

Božićno skeniranje Nmap smatralo se skrivenim skeniranjem koje analizira odgovore na božićne pakete kako bi odredilo prirodu uređaja koji odgovara. Svaki operacijski sustav ili mrežni uređaj na drugačiji način reagiraju na božićne pakete koji otkrivaju lokalne podatke kao što su OS (operativni sustav), stanje porta i drugo. Trenutno mnogi vatrozidi i Sustav za otkrivanje upada mogu otkriti božićne pakete i to nije najbolja tehnika za izvođenje prikrivenog skeniranja, no iznimno je korisno razumjeti kako to funkcionira.

U prošlom članku o Nmap Stealth Scan -u objašnjeno je kako se uspostavljaju TCP i SYN veze (moraju se pročitati ako vam nisu poznate), ali paketi KRAJ , GODIŠNJE i URG posebno su važni za Božić jer paketi bez SYN, RST ili ALAS izvedenice u resetiranju veze (RST) ako je port zatvoren i nema odgovora ako je port otvoren. Prije nepostojanja takvih paketa, kombinacije FIN, PSH i URG dovoljne su za provođenje skeniranja.



Paketi FIN, PSH i URG:

PSH: TCP međuspremnici omogućuju prijenos podataka kada šaljete više od segmenta s maksimalnom veličinom. Ako međuspremnik nije pun, zastavica PSH (PUSH) dopušta ga ipak slanjem popunjavanjem zaglavlja ili upućivanjem TCP -a da šalje pakete. Putem ove zastavice aplikacija koja generira promet obavještava da se podaci moraju odmah poslati, odredište je obaviješteno podaci se moraju odmah poslati aplikaciji.



URG: Ova oznaka obavještava da su određeni segmenti hitni i da im se mora dati prioritet. Kada je zastavica omogućena, primatelj će pročitati 16 -bitni segment u zaglavlju, ovaj segment označava hitne podatke iz prvog bajta. Trenutno se ova zastava gotovo ne koristi.



KRAJ: RST paketi objašnjeni su u gore navedenom vodiču ( Nmap Stealth Scan ), za razliku od RST paketa, FIN paketi umjesto da obavještavaju o prekidu veze to zahtijevaju od hosta u interakciji i čekaju dok ne dobiju potvrdu o prekidu veze.

Lučke države

Otvoreno | filtrirano: Nmap ne može otkriti je li port otvoren ili filtriran, čak i ako je port otvoren, božićno skeniranje prijavit će ga kao otvoreno | filtrirano, to se događa kada se ne primi odgovor (čak i nakon ponovnog slanja).

Zatvoreno: Nmap otkriva da je port zatvoren, to se događa kada je odgovor TCP RST paket.



Filtrirano: Nmap otkriva vatrozid koji filtrira skenirane portove, to se događa kada je odgovor nedostupna ICMP greška (tip 3, kôd 1, 2, 3, 9, 10 ili 13). Na temelju RFC standarda Nmap ili Xmas scan mogu interpretirati stanje porta

Božićno skeniranje, baš kao što NULL i FIN skeniranje ne može razlikovati zatvoreni i filtrirani port, kao što je gore spomenuto, odgovor je paketa ICMP pogreška Nmap ga označava filtriranim, ali kao što je objašnjeno u knjizi Nmap ako je sonda zabranjeno bez odgovora čini se otvorenim, stoga Nmap prikazuje otvorene portove i određene filtrirane priključke kao otvorene | filtrirane

Koje obrane mogu otkriti božićno skeniranje?: Vatrozidi bez državljanstva protiv Vatrozidi sa statusom:

Vatrozidi bez statusa ili bez statusa provode politiku prema izvoru prometa, odredištu, lukama i sličnim pravilima zanemarujući TCP stog ili protokolni datagram. Suprotno vatrozidima bez državljanstva, državnim vatrozidima, on može analizirati pakete koji otkrivaju krivotvorene pakete, manipulaciju MTU -om (jedinica maksimalnog prijenosa) i druge tehnike koje pruža Nmap i drugi softver za skeniranje kako bi zaobišao sigurnost vatrozida. Budući da je božićni napad manipulacija paketima, vatrozidovi sa statusom će ga vjerojatno otkriti, a vatrozidi bez stanja zaštite, sustav za otkrivanje upada također će otkriti ovaj napad ako je pravilno konfiguriran.

Predlošci vremena:

Paranoidno: -T0, izuzetno spor, koristan za zaobilaženje IDS -a (Sustavi za otkrivanje upada)
Tajni: -T1, vrlo spor, također koristan za zaobilaženje IDS -a (Sustavi za otkrivanje upada)
Pristojan: -T2, neutralno.
Normalan: -T3, ovo je zadani način rada.
Agresivno: -T4, brzo skeniranje.
Lud: -T5, brži od tehnike agresivnog skeniranja.

Primjeri Nmap Xmas Scan

Sljedeći primjer prikazuje pristojno božićno skeniranje prema LinuxHintu.

nmap -sX -T2linuxhint.com

Primjer agresivnog božićnog skeniranja prema LinuxHint.com

nmap -sX -T4linuxhint.com

Primjenom zastave -sV za otkrivanje verzija možete dobiti više informacija o određenim portovima i razlikovati filtrirane i filtrirane portove, ali iako se Božić smatrao tehnikom prikrivenog skeniranja, ovaj dodatak može učiniti skeniranje vidljivijim vatrozidima ili IDS -ovima.

nmap -sV -sX -T4linux.lat

Iptables pravila za blokiranje božićnog skeniranja

Sljedeća pravila iptablesa mogu vas zaštititi od božićnog skeniranja:

iptables-DOULAZNI-strtcp--tcp-zastaviceFIN, URG, PSH FIN, URG, PSH-jPAD
iptables-DOULAZNI-strtcp--tcp-zastaviceSVE SVE-jPAD
iptables-DOULAZNI-strtcp--tcp-zastaviceSVE NIKO-jPAD
iptables-DOULAZNI-strtcp--tcp-zastaviceSYN, RST SYN, RST-jPAD

Zaključak

Iako božićno skeniranje nije novo i većina obrambenih sustava može otkriti da postaje zastarjela tehnika protiv dobro zaštićenih ciljeva, to je odličan način za upoznavanje s neuobičajenim TCP segmentima poput PSH -a i URG -a te za razumijevanje načina na koji Nmap analizira pakete donijeti zaključke o ciljevima. Više od metode napada, ovo skeniranje je korisno za testiranje vašeg vatrozida ili sustava za otkrivanje upada. Gore navedena pravila iptablesa trebala bi biti dovoljna da zaustave takve napade s udaljenih hostova. Ovo skeniranje vrlo je slično NULL i FIN skeniranjima po načinu rada i niskoj učinkovitosti protiv zaštićenih meta.

Nadam se da vam je ovaj članak bio koristan kao uvod u božićno skeniranje pomoću Nmapa. Slijedite LinuxHint za više savjeta i ažuriranja o Linuxu, umrežavanju i sigurnosti.

Povezani članci:

  • Kako skenirati usluge i ranjivosti s Nmapom
  • Korištenje nmap skripti: Nmap hvatanje bannera
  • skeniranje mreže nmap
  • nmap ping sweep
  • nmap zastavice i što rade
  • OpenVAS Ubuntu instalacija i vodič
  • Instaliranje Nexpose Skenera ranjivosti na Debian/Ubuntu
  • Iptables za početnike

Glavni izvor: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html