Nmap

Skanowanie Xmas Nmap

Skanowanie Xmas Nmap

Wprowadzenie do Xmas Scan

Skanowanie Nmap Xmas było uważane za ukryte skanowanie, które analizuje odpowiedzi na pakiety Xmas w celu określenia charakteru odpowiadającego urządzenia. Każdy system operacyjny lub urządzenie sieciowe reaguje w inny sposób na pakiety Xmas, ujawniając lokalne informacje, takie jak system operacyjny (system operacyjny), stan portu i inne. Obecnie wiele zapór sieciowych i systemu wykrywania włamań może wykrywać pakiety Xmas i nie jest to najlepsza technika wykonywania skanowania stealth, ale niezwykle przydatne jest zrozumienie, jak to działa.

W ostatnim artykule na temat Nmap Stealth Scan wyjaśniono, w jaki sposób nawiązywane są połączenia TCP i SYN (musisz przeczytać, jeśli są ci nieznane), ale pakiety PŁETWA, PSH i URG są szczególnie istotne na Boże Narodzenie, ponieważ pakiety bez SYN, RST lub POTWIERDZ pochodne w zresetowaniu połączenia (RST), jeśli port jest zamknięty i brak odpowiedzi, jeśli port jest otwarty. Przed brakiem takich pakietów do przeprowadzenia skanowania wystarczą kombinacje FIN, PSH i URG.

Pakiety FIN, PSH i URG:

PSH: Bufory TCP umożliwiają przesyłanie danych, gdy wysyłasz więcej niż segment o maksymalnym rozmiarze. Jeśli bufor nie jest pełny, flaga PSH (PUSH) pozwala na wysłanie go mimo to, wypełniając nagłówek lub nakazując TCP wysyłanie pakietów. Poprzez tę flagę aplikacja generująca ruch informuje, że dane muszą być wysłane natychmiast, miejsce docelowe jest informowane dane muszą być wysłane natychmiast do aplikacji.

URG: Ta flaga informuje, że określone segmenty są pilne i muszą mieć priorytet, gdy flaga jest włączona, odbiornik odczyta 16-bitowy segment w nagłówku, segment ten wskazuje pilne dane z pierwszego bajtu. Obecnie ta flaga jest prawie nieużywana.

PŁETWA: Pakiety RST zostały wyjaśnione we wspomnianym powyżej samouczku (Skanowanie w ukryciu Nmap), w przeciwieństwie do pakietów RST, pakiety FIN zamiast informowania o zakończeniu połączenia żądają go od hosta współdziałającego i czekają na potwierdzenie zakończenia połączenia.

stany portowe

Otwórz|filtrowane: Nmap nie może wykryć, czy port jest otwarty czy filtrowany, nawet jeśli port jest otwarty, skanowanie Xmas zgłosi go jako otwarty|filtrowany, dzieje się tak, gdy nie otrzyma żadnej odpowiedzi (nawet po retransmisji).

Zamknięte: Nmap wykrywa, że ​​port jest zamknięty, dzieje się tak, gdy odpowiedzią jest pakiet TCP RST.

Przefiltrowany: Nmap wykrywa zaporę sieciową filtrującą skanowane porty, dzieje się tak, gdy odpowiedzią jest błąd ICMP nieosiągalny (typ 3, kod 1, 2, 3, 9, 10 lub 13). W oparciu o standardy RFC Nmap lub skanowanie Xmas jest w stanie zinterpretować stan portu

Skanowanie Xmas, podobnie jak skanowanie NULL i FIN nie może odróżnić portu zamkniętego od filtrowanego, jak wspomniano powyżej, jest odpowiedzią pakietu jest błędem ICMP. Nmap oznacza go jako filtrowany, ale jak wyjaśniono w książce Nmap, jeśli sonda jest zbanowany bez odpowiedzi wydaje się być otwarty, dlatego Nmap pokazuje otwarte porty i niektóre filtrowane porty jako otwarte|filtrowane

Jakie zabezpieczenia mogą wykryć skan Xmas?: Zapory bezstanowe a zapory stanowe:

Zapory bezstanowe lub bezstanowe realizują polityki zgodnie ze źródłem ruchu, miejscem docelowym, portami i podobnymi regułami, ignorując stos TCP lub datagram protokołu. W przeciwieństwie do zapór bezstanowych, zapór stanowych, może analizować pakiety wykrywając sfałszowane pakiety, manipulacje MTU (Maximum Transmission Unit) i inne techniki dostarczane przez Nmap i inne oprogramowanie skanujące w celu ominięcia zabezpieczeń zapory. Ponieważ atak świąteczny polega na manipulowaniu pakietami, które zapory stanowe prawdopodobnie go wykryją, podczas gdy zapory bezstanowe nie, system wykrywania włamań również wykryje ten atak, jeśli jest poprawnie skonfigurowany.

Szablony czasowe:

Paranoidalny: -T0, bardzo wolny, przydatny do ominięcia IDS (systemów wykrywania włamań)
Podstępny: -T1, bardzo wolny, przydatny również do ominięcia IDS (Intrusion Detection Systems)
Uprzejmy: -T2, neutralny.
Normalna: -T3, to jest tryb domyślny.
Agresywny: -T4, szybkie skanowanie.
Szalony: -T5, szybsza niż technika skanowania agresywnego.

Przykłady Nmap Xmas Scan

Poniższy przykład pokazuje uprzejme skanowanie Xmas pod kątem LinuxHint.

nmap -sX -T2 linuxhint.com

Przykład agresywnego skanowania Xmas przeciwko LinuxHint.com

nmap -sX -T4 linuxhint.com

Stosując flagę -sV do wykrywania wersji możesz uzyskać więcej informacji o określonych portach i rozróżnić porty filtrowane i filtrowane, ale chociaż Xmas był uważany za technikę skanowania stealth, ten dodatek może sprawić, że skanowanie będzie bardziej widoczne dla zapór ogniowych lub IDS.

nmap -sV -sX -T4 linux.lat

Reguły Iptables do blokowania skanów świątecznych

Następujące reguły iptables mogą chronić Cię przed skanowaniem Xmas:

iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags WSZYSTKIE WSZYSTKIE -j DROP
iptables -A INPUT -p tcp --tcp-flags WSZYSTKIE BRAK -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

Wniosek

Chociaż skanowanie Xmas nie jest nowe i większość systemów obronnych jest w stanie wykryć, że staje się przestarzałą techniką przeciwko dobrze chronionym celom, jest to świetny sposób na wprowadzenie do nietypowych segmentów TCP, takich jak PSH i URG oraz zrozumienie sposobu, w jaki Nmap analizuje pakiety wyciągać wnioski na temat celów. To więcej niż metoda ataku to skanowanie jest przydatne do testowania zapory sieciowej lub systemu wykrywania włamań. Powyższe zasady iptables powinny wystarczyć do powstrzymania takich ataków ze zdalnych hostów. Ten skan jest bardzo podobny do skanów NULL i FIN zarówno pod względem sposobu działania, jak i niskiej skuteczności przeciwko chronionym celom.

Mam nadzieję, że ten artykuł okazał się przydatny jako wprowadzenie do skanowania Xmas za pomocą Nmap. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących Linuksa, sieci i bezpieczeństwa.

Powiązane artykuły:

Główne źródło: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Mysz Jak zmienić ustawienia myszy i touchpada za pomocą Xinput w systemie Linux?
Jak zmienić ustawienia myszy i touchpada za pomocą Xinput w systemie Linux?
Większość dystrybucji Linuksa jest domyślnie dostarczana z biblioteką „libinput” do obsługi zdarzeń wejściowych w systemie. Może przetwarzać zdarzenia...
Mysz Remap your mouse buttons differently for different software with X-Mouse Button Control
Remap your mouse buttons differently for different software with X-Mouse Button Control
Maybe you need a tool that could make your mouse's control change with every application that you use. If this is the case, you can try out an applica...
Mysz Microsoft Sculpt Touch Wireless Mouse Review
Microsoft Sculpt Touch Wireless Mouse Review
I recently read about the Microsoft Sculpt Touch wireless mouse and decided to buy it. After using it for a while, I decided to share my experience wi...