Skanowanie Xmas Nmap

Skanowanie Nmap Xmas było uważane za ukryte skanowanie, które analizuje odpowiedzi na pakiety Xmas w celu określenia charakteru odpowiadającego urządzenia. Każdy system operacyjny lub urządzenie sieciowe reaguje w inny sposób na pakiety Xmas, ujawniając lokalne informacje, takie jak system operacyjny, stan portu i inne. Obecnie wiele zapór ogniowych i systemu wykrywania włamań może wykrywać pakiety Xmas i nie jest to najlepsza technika wykonywania ukrytego skanowania, ale niezwykle przydatne jest zrozumienie, jak to działa.

W ostatnim artykule na temat Nmap Stealth Scan wyjaśniono, w jaki sposób nawiązywane są połączenia TCP i SYN (musisz przeczytać, jeśli są ci nieznane), ale pakiety KOŃCZYĆ SIĘ , ROCZNIE oraz URG są szczególnie istotne na Boże Narodzenie, ponieważ pakiety bez SYN, RST lub NIESTETY pochodne w zresetowaniu połączenia (RST), jeśli port jest zamknięty i brak odpowiedzi, jeśli port jest otwarty. Przed brakiem takich pakietów do przeprowadzenia skanowania wystarczą kombinacje FIN, PSH i URG.

Pakiety FIN, PSH i URG:

PSH: Bufory TCP umożliwiają przesyłanie danych, gdy wysyłasz więcej niż segment o maksymalnym rozmiarze. Jeśli bufor nie jest pełny, flaga PSH (PUSH) pozwala mimo to wysłać go, wypełniając nagłówek lub nakazując TCP wysyłanie pakietów. Za pomocą tej flagi aplikacja generująca ruch informuje, że dane muszą być wysłane natychmiast, a miejsce docelowe jest informowane, że dane muszą być wysłane natychmiast do aplikacji.

URG: Ta flaga informuje, że określone segmenty są pilne i muszą mieć priorytet, gdy flaga jest włączona, odbiornik odczyta 16-bitowy segment w nagłówku, segment ten wskazuje pilne dane z pierwszego bajtu. Obecnie ta flaga jest prawie nieużywana.

KOŃCZYĆ SIĘ: Pakiety RST zostały wyjaśnione we wspomnianym powyżej samouczku ( Skanowanie w ukryciu Nmap ), w przeciwieństwie do pakietów RST, pakiety FIN zamiast informowania o zakończeniu połączenia żądają go od hosta współdziałającego i czekają na potwierdzenie zakończenia połączenia.

stany portowe

Otwórz|filtrowane: Nmap nie może wykryć, czy port jest otwarty lub filtrowany, nawet jeśli port jest otwarty, skanowanie Xmas zgłosi go jako otwarty|filtrowany, dzieje się tak, gdy nie otrzyma żadnej odpowiedzi (nawet po retransmisji).

Zamknięte: Nmap wykrywa, że ​​port jest zamknięty, dzieje się tak, gdy odpowiedzią jest pakiet TCP RST.

Przefiltrowany: Nmap wykrywa zaporę sieciową filtrującą skanowane porty, dzieje się tak, gdy odpowiedzią jest błąd ICMP nieosiągalny (typ 3, kod 1, 2, 3, 9, 10 lub 13). W oparciu o standardy RFC Nmap lub skanowanie Xmas jest w stanie zinterpretować stan portu

Skanowanie Xmas, tak jak skanowanie NULL i FIN nie może odróżnić portu zamkniętego od filtrowanego, jak wspomniano powyżej, to odpowiedź pakietu jest błędem ICMP. Nmap oznacza go jako filtrowany, ale jak wyjaśniono w książce Nmap, jeśli sonda jest zbanowany bez odpowiedzi wydaje się być otwarty, dlatego Nmap pokazuje otwarte porty i niektóre filtrowane porty jako otwarte|filtrowane

Jakie zabezpieczenia mogą wykryć skanowanie Xmas?: Zapory bezstanowe a zapory stanowe:

Zapory bezstanowe lub bezstanowe realizują polityki zgodnie ze źródłem ruchu, miejscem docelowym, portami i podobnymi regułami, ignorując stos TCP lub datagram protokołu. W przeciwieństwie do zapór bezstanowych, zapór stanowych, może analizować pakiety, wykrywając sfałszowane pakiety, manipulacje MTU (Maximum Transmission Unit) i inne techniki dostarczane przez Nmap i inne oprogramowanie skanujące, aby ominąć zabezpieczenia zapory. Ponieważ atak Xmas polega na manipulowaniu pakietami, które zapory stanowe prawdopodobnie go wykryją, podczas gdy zapory bezstanowe nie są, system wykrywania włamań również wykryje ten atak, jeśli zostanie poprawnie skonfigurowany.

Szablony czasowe:

Paranoidalny: -T0, bardzo wolny, przydatny do ominięcia IDS (systemów wykrywania włamań)
Podstępny: -T1, bardzo wolny, przydatny również do ominięcia IDS (Intrusion Detection Systems)
Grzeczny: -T2, neutralny.
Normalna: -T3, to jest tryb domyślny.
Agresywny: -T4, szybkie skanowanie.
Obłąkany: -T5, szybsza niż technika skanowania agresywnego.

Przykłady Nmap Xmas Scan

Poniższy przykład pokazuje uprzejme skanowanie Xmas pod kątem LinuxHint.

Przykład agresywnego skanowania świątecznego przeciwko LinuxHint.com

Stosując flagę -sV do wykrywania wersji można uzyskać więcej informacji o określonych portach i rozróżnić porty filtrowane i filtrowane, ale chociaż Xmas był uważany za technikę ukrywania, ten dodatek może sprawić, że skanowanie będzie bardziej widoczne dla zapór ogniowych lub IDS.

Reguły Iptables do blokowania skanów świątecznych

Następujące reguły iptables mogą chronić Cię przed skanowaniem Xmas:

Wniosek

Chociaż skanowanie Xmas nie jest nowe, a większość systemów obronnych jest w stanie wykryć, że staje się przestarzałą techniką przeciwko dobrze chronionym celom, jest to świetny sposób na wprowadzenie do nietypowych segmentów TCP, takich jak PSH i URG oraz zrozumienie sposobu, w jaki Nmap analizuje pakiety wyciągać wnioski na temat celów. Skanowanie to jest czymś więcej niż tylko metodą ataku, aby przetestować zaporę sieciową lub system wykrywania włamań. Wspomniane powyżej reguły iptables powinny wystarczyć do powstrzymania takich ataków ze zdalnych hostów. Ten skan jest bardzo podobny do skanów NULL i FIN zarówno pod względem sposobu działania, jak i niskiej skuteczności przeciwko chronionym celom.

Mam nadzieję, że ten artykuł okazał się przydatny jako wprowadzenie do skanowania Xmas za pomocą Nmapa. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących Linuksa, sieci i bezpieczeństwa.

Powiązane artykuły:

• Jak skanować w poszukiwaniu usług i luk za pomocą Nmap
• Korzystanie ze skryptów nmap: chwytanie banerów nmap
• skanowanie sieci nmap
• nmap przemiatanie ping
• flagi nmap i co one robią
• Instalacja i samouczek OpenVAS Ubuntu
• Instalowanie Nexpose Vulnerability Scanner na Debianie/Ubuntu
• Iptable dla początkujących

Główne źródło: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html