Wprowadzenie do Xmas Scan
Skanowanie Nmap Xmas było uważane za ukryte skanowanie, które analizuje odpowiedzi na pakiety Xmas w celu określenia charakteru odpowiadającego urządzenia. Każdy system operacyjny lub urządzenie sieciowe reaguje w inny sposób na pakiety Xmas, ujawniając lokalne informacje, takie jak system operacyjny (system operacyjny), stan portu i inne. Obecnie wiele zapór sieciowych i systemu wykrywania włamań może wykrywać pakiety Xmas i nie jest to najlepsza technika wykonywania skanowania stealth, ale niezwykle przydatne jest zrozumienie, jak to działa.
W ostatnim artykule na temat Nmap Stealth Scan wyjaśniono, w jaki sposób nawiązywane są połączenia TCP i SYN (musisz przeczytać, jeśli są ci nieznane), ale pakiety PŁETWA, PSH i URG są szczególnie istotne na Boże Narodzenie, ponieważ pakiety bez SYN, RST lub POTWIERDZ pochodne w zresetowaniu połączenia (RST), jeśli port jest zamknięty i brak odpowiedzi, jeśli port jest otwarty. Przed brakiem takich pakietów do przeprowadzenia skanowania wystarczą kombinacje FIN, PSH i URG.
Pakiety FIN, PSH i URG:
PSH: Bufory TCP umożliwiają przesyłanie danych, gdy wysyłasz więcej niż segment o maksymalnym rozmiarze. Jeśli bufor nie jest pełny, flaga PSH (PUSH) pozwala na wysłanie go mimo to, wypełniając nagłówek lub nakazując TCP wysyłanie pakietów. Poprzez tę flagę aplikacja generująca ruch informuje, że dane muszą być wysłane natychmiast, miejsce docelowe jest informowane dane muszą być wysłane natychmiast do aplikacji.
URG: Ta flaga informuje, że określone segmenty są pilne i muszą mieć priorytet, gdy flaga jest włączona, odbiornik odczyta 16-bitowy segment w nagłówku, segment ten wskazuje pilne dane z pierwszego bajtu. Obecnie ta flaga jest prawie nieużywana.
PŁETWA: Pakiety RST zostały wyjaśnione we wspomnianym powyżej samouczku (Skanowanie w ukryciu Nmap), w przeciwieństwie do pakietów RST, pakiety FIN zamiast informowania o zakończeniu połączenia żądają go od hosta współdziałającego i czekają na potwierdzenie zakończenia połączenia.
stany portowe
Otwórz|filtrowane: Nmap nie może wykryć, czy port jest otwarty czy filtrowany, nawet jeśli port jest otwarty, skanowanie Xmas zgłosi go jako otwarty|filtrowany, dzieje się tak, gdy nie otrzyma żadnej odpowiedzi (nawet po retransmisji).
Zamknięte: Nmap wykrywa, że port jest zamknięty, dzieje się tak, gdy odpowiedzią jest pakiet TCP RST.
Przefiltrowany: Nmap wykrywa zaporę sieciową filtrującą skanowane porty, dzieje się tak, gdy odpowiedzią jest błąd ICMP nieosiągalny (typ 3, kod 1, 2, 3, 9, 10 lub 13). W oparciu o standardy RFC Nmap lub skanowanie Xmas jest w stanie zinterpretować stan portu
Skanowanie Xmas, podobnie jak skanowanie NULL i FIN nie może odróżnić portu zamkniętego od filtrowanego, jak wspomniano powyżej, jest odpowiedzią pakietu jest błędem ICMP. Nmap oznacza go jako filtrowany, ale jak wyjaśniono w książce Nmap, jeśli sonda jest zbanowany bez odpowiedzi wydaje się być otwarty, dlatego Nmap pokazuje otwarte porty i niektóre filtrowane porty jako otwarte|filtrowane
Jakie zabezpieczenia mogą wykryć skan Xmas?: Zapory bezstanowe a zapory stanowe:
Zapory bezstanowe lub bezstanowe realizują polityki zgodnie ze źródłem ruchu, miejscem docelowym, portami i podobnymi regułami, ignorując stos TCP lub datagram protokołu. W przeciwieństwie do zapór bezstanowych, zapór stanowych, może analizować pakiety wykrywając sfałszowane pakiety, manipulacje MTU (Maximum Transmission Unit) i inne techniki dostarczane przez Nmap i inne oprogramowanie skanujące w celu ominięcia zabezpieczeń zapory. Ponieważ atak świąteczny polega na manipulowaniu pakietami, które zapory stanowe prawdopodobnie go wykryją, podczas gdy zapory bezstanowe nie, system wykrywania włamań również wykryje ten atak, jeśli jest poprawnie skonfigurowany.
Szablony czasowe:
Paranoidalny: -T0, bardzo wolny, przydatny do ominięcia IDS (systemów wykrywania włamań)
Podstępny: -T1, bardzo wolny, przydatny również do ominięcia IDS (Intrusion Detection Systems)
Uprzejmy: -T2, neutralny.
Normalna: -T3, to jest tryb domyślny.
Agresywny: -T4, szybkie skanowanie.
Szalony: -T5, szybsza niż technika skanowania agresywnego.
Przykłady Nmap Xmas Scan
Poniższy przykład pokazuje uprzejme skanowanie Xmas pod kątem LinuxHint.
nmap -sX -T2 linuxhint.com
Przykład agresywnego skanowania Xmas przeciwko LinuxHint.com
nmap -sX -T4 linuxhint.com
Stosując flagę -sV do wykrywania wersji możesz uzyskać więcej informacji o określonych portach i rozróżnić porty filtrowane i filtrowane, ale chociaż Xmas był uważany za technikę skanowania stealth, ten dodatek może sprawić, że skanowanie będzie bardziej widoczne dla zapór ogniowych lub IDS.
nmap -sV -sX -T4 linux.lat
Reguły Iptables do blokowania skanów świątecznych
Następujące reguły iptables mogą chronić Cię przed skanowaniem Xmas:
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROPiptables -A INPUT -p tcp --tcp-flags WSZYSTKIE WSZYSTKIE -j DROP
iptables -A INPUT -p tcp --tcp-flags WSZYSTKIE BRAK -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
Wniosek
Chociaż skanowanie Xmas nie jest nowe i większość systemów obronnych jest w stanie wykryć, że staje się przestarzałą techniką przeciwko dobrze chronionym celom, jest to świetny sposób na wprowadzenie do nietypowych segmentów TCP, takich jak PSH i URG oraz zrozumienie sposobu, w jaki Nmap analizuje pakiety wyciągać wnioski na temat celów. To więcej niż metoda ataku to skanowanie jest przydatne do testowania zapory sieciowej lub systemu wykrywania włamań. Powyższe zasady iptables powinny wystarczyć do powstrzymania takich ataków ze zdalnych hostów. Ten skan jest bardzo podobny do skanów NULL i FIN zarówno pod względem sposobu działania, jak i niskiej skuteczności przeciwko chronionym celom.
Mam nadzieję, że ten artykuł okazał się przydatny jako wprowadzenie do skanowania Xmas za pomocą Nmap. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących Linuksa, sieci i bezpieczeństwa.
Powiązane artykuły:
- Jak skanować w poszukiwaniu usług i luk za pomocą Nmap
- Korzystanie ze skryptów nmap: chwytanie banerów nmap
- skanowanie sieci nmap
- nmap przemiatanie ping
- flagi nmap i co one robią
- Instalacja i samouczek OpenVAS Ubuntu
- Instalowanie Nexpose Vulnerability Scanner na Debianie/Ubuntu
- Iptable dla początkujących
Główne źródło: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html