Uvod v Xmas Scan

Nmap Xmas scan je veljal za prikrito skeniranje, ki analizira odzive na Xmas pakete, da bi ugotovil naravo odzivne naprave. Vsak operacijski sistem ali omrežna naprava se različno odziva na božične pakete, ki razkrivajo lokalne informacije, kot so OS (operacijski sistem), stanje vrat in drugo. Trenutno lahko številni požarni zidovi in ​​sistem za zaznavanje vdorov zaznajo božične pakete, kar ni najboljša tehnika za izvedbo prikritega pregleda, vendar je zelo koristno razumeti, kako deluje.

V zadnjem članku o Nmap Stealth Scan je bilo razloženo, kako se vzpostavijo povezave TCP in SYN (morajo biti prebrane, če so vam neznane), vendar paketi FIN, PSH in URG so še posebej pomembni za božič, ker paketi brez SYN, RST ali ACK izvedeni finančni instrumenti v ponastavitvi povezave (RST), če so vrata zaprta in brez odziva, če so vrata odprta. Pred odsotnostjo takih paketov so za izvedbo skeniranja dovolj kombinacije FIN, PSH in URG.

Paketi FIN, PSH in URG:

PSH: Vmesni pomnilniki TCP omogočajo prenos podatkov, ko pošljete več kot segment z največjo velikostjo. Če medpomnilnik ni poln, zastavica PSH (PUSH) dovoli, da ga vseeno pošlje tako, da napolni glavo ali TCP naroči, naj pošlje pakete. S to zastavico aplikacija, ki ustvarja promet, obvešča, da je treba podatke poslati takoj, cilj je obveščen, podatke je treba takoj poslati aplikaciji.

URG: Ta zastavica sporoča, da so določeni segmenti nujni in jim je treba dati prednost. Ko je zastavica omogočena, bo sprejemnik prebral 16-bitni segment v glavi, ta segment prikazuje nujne podatke iz prvega bajta. Trenutno ta zastava skoraj ni v uporabi.

FIN: Paketi RST so razloženi v zgoraj omenjeni vadnici (Nmap Stealth Scan), v nasprotju s paketi RST, paketi FIN namesto obveščanja o prekinitvi povezave zahtevajo od medsebojnega gostitelja in počakajo, da dobijo potrditev za prekinitev povezave.

Pristaniške države

Odprto | filtrirano: Nmap ne more zaznati, ali so vrata odprta ali filtrirana, tudi če so vrata odprta, bo Xmas skeniranje sporočilo, da je odprto | filtrirano, se zgodi, ko ni prejet noben odgovor (tudi po ponovnem prenosu).

Zaprto: Nmap zazna, da so vrata zaprta, to se zgodi, ko je odgovor paket TCP RST.

Filtrirano: Nmap zazna požarni zid, ki filtrira optično prebrana vrata, zgodi se, ko je odgovor ICMP nedosegljiva napaka (tip 3, koda 1, 2, 3, 9, 10 ali 13). Na podlagi standardov RFC lahko Nmap ali Xmas scan razlaga stanje vrat

Xmas skeniranje, tako kot skeniranje NULL in FIN ne more razlikovati med zaprtimi in filtriranimi vrati, kot je omenjeno zgoraj, je odziv paketa napaka ICMP, Nmap ga označi kot filtriranega, vendar kot je razloženo v knjigi Nmap, če je sonda prepovedano brez odgovora se zdi odprto, zato Nmap prikazuje odprta vrata in nekatera filtrirana vrata kot odprta | filtrirana

Katere obrambne enote lahko zaznajo Xmas skeniranje?: Požarni zidovi brez stanja in požarni zidovi Stateful:

Požarni zidovi brez državljanstva ali brez državljanstva izvajajo politike glede na vir prometa, cilj, pristanišča in podobna pravila, pri čemer ignorirajo sklad TCP ali datagram protokola. V nasprotju s požarnimi zidovi brez držav, požarnimi zidovi Stateful lahko analizira pakete, ki zaznajo ponarejene pakete, manipulacijo z MTU (največja prenosna enota) in druge tehnike, ki jih ponuja Nmap in druga programska oprema za skeniranje, da zaobide varnost požarnega zidu. Ker je Xmas napad manipulacija paketov požarni zidovi s stanjem, ga bodo verjetno zaznali, požarni zidovi brez stanja pa ne, bo sistem za zaznavanje vdorov ta napad zaznal tudi, če bo pravilno konfiguriran.

Časovne predloge:

Paranoid: -T0, izjemno počasen, koristen za obhod IDS (sistemi za odkrivanje vdorov)
Sneaky: -T1, zelo počasen, koristen tudi za zaobidje IDS (sistemi za odkrivanje vdorov)
Vljudno: -T2, nevtralno.
Običajno: -T3, to je privzeti način.
Agresivno: -T4, hitro skeniranje.
Noro: -T5, hitrejši od tehnike agresivnega skeniranja.

Primeri Nmap Xmas Scan

Naslednji primer prikazuje vljudno Xmas skeniranje proti LinuxHint.

nmap -sX -T2 linuxhint.com

Primer agresivnega Xmas Scan proti LinuxHint.com

nmap -sX -T4 linuxhint.com

Z uporabo zastave -sV za zaznavanje različic lahko dobite več informacij o določenih vratih in ločite med filtriranimi in filtriranimi vrati, toda čeprav je bil Xmas obravnavan kot prikrita tehnika skeniranja, lahko ta dodatek skeniranje naredi bolj vidno požarnim zidom ali IDS.

nmap -sV -sX -T4 linux.lat

Iptables pravila za blokiranje Xmas skeniranja

Naslednja pravila iptables vas lahko zaščitijo pred Xmas skeniranjem:

iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags VSE VSE -j PAD
iptables -A INPUT -p tcp --tcp-flags VSE NIČ -j PAD
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP

Zaključek

Čeprav Xmas skeniranje ni novo in je večina obrambnih sistemov sposobna zaznati, da postaja zastarela tehnika proti dobro zaščitenim ciljem, je odličen način za uvod v nenavadne segmente TCP, kot sta PSH in URG, in za razumevanje načina, na katerega Nmap analizira pakete pridobite sklepe o ciljih. To skeniranje je bolj kot napadalna metoda koristno za preizkušanje požarnega zidu ali sistema za odkrivanje vdorov. Zgoraj navedena pravila iptables bi morala biti dovolj za zaustavitev takšnih napadov oddaljenih gostiteljev. Ta pregled je zelo podoben skeniranju NULL in FIN, tako po svojem delovanju kot pri nizki učinkovitosti proti zaščitenim ciljem.

Upam, da vam je bil ta članek koristen kot uvod v Xmas scan z uporabo Nmap-a. Sledite LinuxHint za več nasvetov in posodobitev za Linux, mreženje in varnost.

Povezani članki:

• Kako iskati storitve in ranljivosti z Nmap
• Uporaba skriptov nmap: Nmap banner grab
• skeniranje omrežja nmap
• nmap ping pometanje
• nmap zastavice in kaj počnejo
• Namestitev in vadnica OpenVAS Ubuntu
• Namestitev skenerja ranljivosti Nexpose v Debian / Ubuntu
• Iptables za začetnike

Glavni vir: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html