Nmap Xmas Scan

Nmap Xmas -skannausta pidettiin salaisena skannauksena, joka analysoi vastaukset joulupaketteihin vastaavan laitteen luonteen määrittämiseksi. Jokainen käyttöjärjestelmä tai verkkolaite reagoi eri tavalla joulupaketteihin, jotka paljastavat paikallisia tietoja, kuten käyttöjärjestelmä (käyttöjärjestelmä), portin tila ja paljon muuta. Tällä hetkellä monet palomuurit ja tunkeutumisen havaitsemisjärjestelmä voivat tunnistaa joulupaketit, eikä se ole paras tekniikka varkain skannauksen suorittamiseen, mutta on erittäin hyödyllistä ymmärtää, miten se toimii.

Viimeisessä Nmap Stealth Scan -artikkelissa selitettiin, kuinka TCP- ja SYN -yhteydet muodostetaan (täytyy lukea, jos et tunne niitä), mutta paketit LOPPU , PA ja URG ovat erityisen tärkeitä jouluna, koska paketit ilman SYN, RST tai VALITETTAVASTI johdannaiset yhteyden nollauksessa (RST), jos portti on suljettu, eikä vastausta, jos portti on auki. Ennen kuin tällaisia ​​paketteja ei ole, FIN-, PSH- ja URG -yhdistelmät riittävät suorittamaan skannauksen.

FIN-, PSH- ja URG -paketit:

PSH: TCP -puskurit mahdollistavat tiedonsiirron, kun lähetät enemmän kuin maksimi -kokoisen segmentin. Jos puskuri ei ole täynnä, lippu PSH (PUSH) sallii sen lähettämisen joka tapauksessa täyttämällä otsikon tai antamalla TCP: n lähettää paketteja. Tämän lipun kautta liikennettä tuottava sovellus ilmoittaa, että tiedot on lähetettävä välittömästi, kohde on tieto -tiedot on lähetettävä välittömästi sovellukselle.

URG: Tämä lippu ilmoittaa, että tietyt segmentit ovat kiireellisiä ja ne on asetettava etusijalle. Kun lippu on käytössä, vastaanotin lukee 16 -bittisen segmentin otsikosta, tämä segmentti ilmaisee kiireelliset tiedot ensimmäisestä tavusta. Tällä hetkellä lippu on lähes käyttämätön.

LOPPU: RST -paketit selitettiin yllä mainitussa opetusohjelmassa ( Nmap Stealth Scan ), toisin kuin RST -paketit, FIN -paketit sen sijaan, että tiedottaisivat yhteyden päättämisestä, pyytävät sitä vuorovaikutteiselta isännältä ja odottavat, kunnes saavat vahvistuksen yhteyden katkaisemiseksi.

Sataman osavaltiot

Avaa | suodatettu: Nmap ei pysty havaitsemaan, onko portti auki vai suodatettu, vaikka portti on auki, jouluskannaus ilmoittaa sen avoimeksi | suodatettuna, se tapahtuu, kun vastausta ei saada (edes uudelleenlähetysten jälkeen).

Suljettu: Nmap havaitsee, että portti on suljettu, se tapahtuu, kun vastaus on TCP RST -paketti.

Suodatettu: Nmap havaitsee palomuurin, joka suodattaa skannatut portit, se tapahtuu, kun vastaus on ICMP: n saavuttamaton virhe (tyyppi 3, koodi 1, 2, 3, 9, 10 tai 13). RFC -standardien perusteella Nmap tai Xmas scan pystyvät tulkitsemaan portin tilan

Joulun skannaus, aivan kuten NULL- ja FIN -skannaus ei voi erottaa suljettua ja suodatettua porttia, kuten edellä mainittiin, on pakettivaste ICMP -virhe Nmap merkitsee sen suodatetuksi, mutta kuten Nmap -kirjassa selitetään, jos anturi on kielletty ilman vastausta, se näyttää avatulta, joten Nmap näyttää avoimet portit ja tietyt suodatetut portit avoimina | suodatettuina

Mitkä puolustukset voivat havaita joulun skannauksen?: Valtiottomat palomuurit vs tilalliset palomuurit:

Valtiottomat tai ei-valtiolliset palomuurit toteuttavat käytäntöjä liikenteen lähteen, määränpään, porttien ja vastaavien sääntöjen mukaisesti jättäen huomiotta TCP-pinon tai protokollan datagrammin. Toisin kuin Stateless -palomuurit, Stateful -palomuurit, se voi analysoida väärennettyjä paketteja havaitsevia paketteja, MTU (Maximum Transfer Unit) -käsittelyä ja muita tekniikoita, joita Nmap ja muut skannausohjelmistot tarjoavat palomuurin suojauksen ohittamiseksi. Koska jouluhyökkäys on pakettien käsittely, tilalliset palomuurit tunnistavat sen todennäköisesti, kun taas tilattomat palomuurit eivät ole, tunkeutumisen havaitsemisjärjestelmä havaitsee myös tämän hyökkäyksen, jos se on määritetty oikein.

Ajoitusmallit:

Vainoharhainen: -T0, erittäin hidas, hyödyllinen ohittamaan IDS (tunkeutumisen havaitsemisjärjestelmät)
Ovela: -T1, erittäin hidas, hyödyllinen myös IDS: n (Intrusion Detection Systems) ohittamiseksi
Kohtelias: -T2, neutraali.
Normaali: -T3, tämä on oletustila.
Aggressiivinen: -T4, nopea skannaus.
Hullu: -T5, nopeampi kuin aggressiivinen skannaustekniikka.

Nmap Xmas Scan esimerkkejä

Seuraavassa esimerkissä esitetään kohtelias joulutarkistus LinuxHintia vastaan.

Esimerkki aggressiivisesta jouluskannauksesta LinuxHint.comia vastaan

Käyttämällä lippua -V versioiden havaitsemiseksi voit saada lisätietoja tietyistä porteista ja erottaa suodatetut ja suodatetut portit, mutta vaikka joulua pidettiin varkain skannaustekniikkana, tämä lisäys saattaa tehdä skannauksesta näkyvämmän palomuureille tai IDS: lle.

Iptables -säännöt estävät Xmas -skannauksen

Seuraavat iptables -säännöt voivat suojata sinua joulutarkistukselta:

Johtopäätös

Vaikka joulun skannaus ei ole uusi ja useimmat puolustusjärjestelmät pystyvät havaitsemaan sen vanhentuneen tekniikan hyvin suojattuja kohteita vastaan, se on hyvä tapa esitellä harvinaisia ​​TCP -segmenttejä, kuten PSH ja URG, ja ymmärtää tapa, jolla Nmap analysoi paketteja tehdä johtopäätöksiä tavoitteista. Tämä skannaus on enemmän kuin hyökkäysmenetelmä palomuurin tai tunkeutumisen havaitsemisjärjestelmän testaamiseen. Edellä mainittujen iptables -sääntöjen pitäisi riittää estämään tällaiset hyökkäykset etäisännistä. Tämä skannaus on hyvin samanlainen kuin NULL- ja FIN -skannaus sekä niiden toimintatavalla että alhaisella tehokkuudella suojattuja kohteita vastaan.

Toivon, että pidit tätä artikkelia hyödyllisenä johdannona jouluskannaukseen Nmapin avulla. Jatka Linuxin seuraamistaVinkkejä ja päivityksiä Linuxiin, verkkoihin ja suojaukseen.

Aiheeseen liittyvät artikkelit:

• Palvelujen ja haavoittuvuuksien etsiminen Nmapin avulla
• Nmap -skriptien käyttäminen: Nmap -bannerin nappaus
• nmap -verkon skannaus
• nmap ping -pyyhkäisy
• nmap -liput ja mitä he tekevät
• OpenVAS Ubuntun asennus ja opetusohjelma
• Nexpose -haavoittuvuusskannerin asentaminen Debianiin/Ubuntuun
• Iptables aloittelijoille

Päälähde: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html