Nmap Xmas Scan

Az Nmap karácsonyi szkennelést lopakodó vizsgálatnak tekintették, amely elemzi a karácsonyi csomagokra adott válaszokat, hogy meghatározza a válaszoló eszköz jellegét. Minden operációs rendszer vagy hálózati eszköz másképpen reagál a karácsonyi csomagokra, amelyek felfedik a helyi információkat, például az operációs rendszert (operációs rendszer), a port állapotát és így tovább. Jelenleg sok tűzfal és behatolásérzékelő rendszer képes észlelni a karácsonyi csomagokat, és ez nem a legjobb technika egy lopakodó vizsgálat elvégzésére, de rendkívül hasznos megérteni annak működését.

Az Nmap Stealth Scan utolsó cikkében elmagyarázták, hogyan jönnek létre a TCP és a SYN kapcsolatok (el kell olvasni, ha nem ismeri), de a csomagokat VÉGE , PA és URG különösen fontosak a karácsonyra, mert a csomagok nélkül SYN, RST vagy JAJ származékok a kapcsolat visszaállításában (RST), ha a port zárva van, és nincs válasz, ha a port nyitva van. Az ilyen csomagok hiánya előtt a FIN, PSH és URG kombinációk elegendőek a vizsgálat elvégzéséhez.

FIN, PSH és URG csomagok:

PSH: A TCP -pufferek lehetővé teszik az adatátvitelt, ha több mint egy maximális méretű szegmenst küld. Ha a puffer nem telt meg, a PSH (PUSH) jelző lehetővé teszi a küldést a fejléc kitöltésével vagy a TCP utasításaival. Ezzel a jelzővel a forgalmat generáló alkalmazás tájékoztatja, hogy az adatokat azonnal el kell küldeni, a célállomás tájékoztatott adatait azonnal el kell küldeni az alkalmazásnak.

URG: Ez a jelző azt jelzi, hogy bizonyos szegmensek sürgősek, és prioritást kell élvezniük, amikor a jelző engedélyezve van, a vevő egy 16 bites szegmenst olvas a fejlécben, ez a szegmens az első bájt sürgős adatait jelzi. Jelenleg ez a zászló szinte nem használt.

VÉGE: Az RST csomagokat a fent említett oktatóanyagban magyarázták ( Nmap Stealth Scan ), ellentétben az RST csomagokkal, a FIN csomagok ahelyett, hogy tájékoztatnának a kapcsolat lezárásáról, az interaktív hoszttól kérik, és várnak, amíg visszaigazolást kapnak a kapcsolat megszakítására.

Portállamok

Nyitva | szűrt: Az Nmap nem tudja észlelni, hogy a port nyitva van vagy szűrve, még akkor is, ha a port nyitva van, a karácsonyi szkennelés nyitottnak | szűrtnek fogja jelenteni, ez akkor történik, ha nem érkezik válasz (még az újraküldés után sem).

Zárva: Az Nmap észleli, hogy a port zárva van, ez akkor történik, ha a válasz TCP RST csomag.

Szűrt: Az Nmap észleli a beolvasott portokat szűrő tűzfalat, ez akkor fordul elő, ha a válasz ICMP elérhetetlen hiba (3. típus, 1., 2., 3., 9., 10. vagy 13. kód). Az RFC szabványok alapján az Nmap vagy a Xmas scan képes értelmezni a port állapotát

A karácsonyi szkennelés, ahogy a NULL és FIN szkennelés sem tudja megkülönböztetni a zárt és szűrt portot, amint azt fentebb említettük, a csomagválasz ICMP hiba, az Nmap szűrtként jelöli meg, de az Nmap könyvben leírtak szerint, ha a szonda válasz nélkül betiltva úgy tűnik, hogy nyitva van, ezért az Nmap nyitott portokat és bizonyos szűrt portokat nyitottként |

Milyen védelmi módszerek képesek észlelni a karácsonyi szkennelést?: Állapotmentes tűzfalak és állapotos tűzfalak

A hontalan vagy nem állapotú tűzfalak a forgalomforrás, a célállomás, a portok és hasonló szabályok szerint hajtják végre a házirendeket, figyelmen kívül hagyva a TCP-verem vagy a protokoll-datagramot. A Stateless tűzfalakkal, a Stateful tűzfalakkal ellentétben képes elemezni a hamis csomagokat észlelő csomagokat, az MTU (Maximum Transfer Unit) manipulációt és az Nmap és más szkennelési szoftverek által biztosított egyéb technikákat a tűzfal biztonságának megkerülésére. Mivel a karácsonyi támadás a csomagok manipulációja, az állapotos tűzfalak valószínűleg észlelik, míg az állapot nélküli tűzfalak nem, a behatolásérzékelő rendszer ezt a támadást is észleli, ha megfelelően van konfigurálva.

Időzítési sablonok:

Paranoid: -T0, rendkívül lassú, hasznos az IDS (behatolásérzékelő rendszerek) megkerüléséhez
Alattomos: -T1, nagyon lassú, hasznos az IDS (behatolásérzékelő rendszerek) megkerüléséhez is
Udvarias: -T2, semleges.
Normál: -T3, ez az alapértelmezett mód.
Agresszív: -T4, gyors szkennelés.
Őrült: -T5, gyorsabb, mint az agresszív szkennelési technika.

Nmap Xmas Scan példák

A következő példa egy udvarias karácsonyi vizsgálatot mutat be LinuxHint ellen.

Példa agresszív karácsonyi szkennelésre a LinuxHint.com ellen

A zászló alkalmazásával -sV a verziófelismeréshez több információt kaphat az egyes portokról, és megkülönböztetheti a szűrt és a szűrt portokat, de bár a karácsonyt lopakodó szkennelési technikának tekintették, ez a kiegészítés láthatóbbá teheti a vizsgálatot a tűzfalak vagy az IDS számára.

Az Iptables szabályai blokkolják a karácsonyi beolvasást

A következő iptables szabályok megvédhetik Önt a karácsonyi beolvasástól:

Következtetés

Míg a karácsonyi szkennelés nem új, és a legtöbb védelmi rendszer képes észlelni, hogy elavult technikává válik a jól védett célok ellen, ez nagyszerű módja annak, hogy bemutassák a nem mindennapi TCP -szegmenseket, például a PSH -t és az URG -t, és megértsék az Nmap által a csomagok elemzésének módját. következtetéseket von le a célokról. Ez a vizsgálat több mint támadó módszer, és hasznos a tűzfal vagy a behatolásérzékelő rendszer tesztelésére. A fent említett iptables szabályoknak elegendőnek kell lenniük ahhoz, hogy megállítsák az ilyen támadásokat a távoli gépekről. Ez a vizsgálat nagyon hasonlít a NULL és FIN vizsgálatokhoz mind működésükben, mind alacsony hatékonyságban a védett célpontok ellen.

Remélem, hasznosnak találta ezt a cikket bevezetőként a karácsonyi szkenneléshez az Nmap használatával. Folytassa a LinuxHint követését, ha további tippeket és frissítéseket szeretne a Linux, a hálózat és a biztonság területén.

Kapcsolódó cikkek:

• Szolgáltatások és biztonsági rések keresése az Nmap segítségével
• Nmap szkriptek használata: Nmap banner grab
• nmap hálózati szkennelés
• nmap ping sweep
• nmap zászlók és mit csinálnak
• Az OpenVAS Ubuntu telepítése és bemutatója
• A Nexpose sebezhetőségi szkenner telepítése Debian/Ubuntu rendszeren
• Iptables kezdőknek

Fő forrás: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html