Nmap Xmas scan ansågs vara en smygskanning som analyserar svar på Xmas -paket för att bestämma besvaringsenhetens beskaffenhet. Varje operativsystem eller nätverksenhet svarar på ett annat sätt till julpaket som avslöjar lokal information som OS (operativsystem), porttillstånd och mer. För närvarande kan många brandväggar och intrångsdetekteringssystem upptäcka julpaket och det är inte den bästa tekniken för att utföra en smygskanning, men det är oerhört användbart att förstå hur det fungerar.
I den senaste artikeln om Nmap Stealth Scan förklarades hur TCP- och SYN -anslutningar upprättas (måste läsas om det är okänt för dig) men paketen SLUTET , PA och URG är särskilt relevanta för julen eftersom paket utan SYN, RST eller ACK derivat i en anslutningsåterställning (RST) om porten är stängd och inget svar om porten är öppen. Innan det saknas sådana paket räcker kombinationer av FIN, PSH och URG för att genomföra skanningen.
FIN-, PSH- och URG -paket:
PSH: TCP -buffertar tillåter dataöverföring när du skickar mer än ett segment med maximmstorlek. Om bufferten inte är full kan flaggan PSH (PUSH) skicka den ändå genom att fylla i rubriken eller instruera TCP att skicka paket. Genom denna flagga informerar appen som genererar trafik om att data måste skickas omedelbart, destinationen är informerad data måste skickas omedelbart till applikationen.
URG: Denna flagga informerar om att specifika segment är brådskande och måste prioriteras. När flaggan är aktiverad kommer mottagaren att läsa ett 16 bitars segment i rubriken, indikerar detta segment de brådskande data från den första byten. För närvarande är denna flagga nästan oanvänd.
SLUTET: RST -paket förklarades i handledningen som nämns ovan ( Nmap Stealth Scan ), i motsats till RST -paket, FIN -paket snarare än att informera om anslutningsterminering begär det från den interagerande värden och väntar tills de får en bekräftelse för att avsluta anslutningen.
Hamnstater
Öppna | filtrerat: Nmap kan inte upptäcka om porten är öppen eller filtrerad, även om porten är öppen kommer Xmas -skanningen att rapportera den som öppen | filtrerad, det händer när inget svar tas emot (även efter vidarebefordran).
Stängd: Nmap upptäcker att porten är stängd, det händer när svaret är ett TCP RST -paket.
Filtrerat: Nmap upptäcker en brandvägg som filtrerar de skannade portarna, det händer när svaret är ICMP -oåtkomligt fel (typ 3, kod 1, 2, 3, 9, 10 eller 13). Baserat på RFC -standarderna kan Nmap eller Xmas -skanningen tolka porttillståndet
Julskanningen, precis som NULL- och FIN -skanningen inte kan skilja mellan en stängd och filtrerad port, som nämnts ovan, är att paketsvaret är ett ICMP -fel Nmap märker det som filtrerat, men som förklarat på Nmap -boken om sonden är förbjudet utan svar verkar det öppnat, därför visar Nmap öppna portar och vissa filtrerade portar som öppna | filtrerade
Vilka försvar kan upptäcka en julskanning ?: Statlösa brandväggar vs Stateful brandväggar:
Statslösa eller icke-statliga brandväggar utför policyer enligt trafikkällan, destinationen, portarna och liknande regler och ignorerar TCP-stacken eller protokolldatagrammet. I motsats till Stateless brandväggar, Stateful brandväggar kan den analysera paket som upptäcker förfalskade paket, MTU (Maximum transmission Unit) manipulation och andra tekniker som tillhandahålls av Nmap och annan skanningsprogramvara för att kringgå brandväggssäkerhet. Eftersom julattacken är en manipulation av paket kommer stateful brandväggar sannolikt att upptäcka det medan statlösa brandväggar inte är det, Intrusion Detection System kommer också att upptäcka denna attack om den är korrekt konfigurerad.
Timing mallar:
Paranoid: -T0, extremt långsam, användbar för att kringgå IDS (Intrusion Detection Systems)
Lömsk: -T1, mycket långsam, också användbar för att kringgå IDS (Intrusion Detection Systems)
Artig: -T2, neutral.
Vanligt: -T3, detta är standardläget.
Aggressiv: -T4, snabb skanning.
Sinnessjuk: -T5, snabbare än aggressiv skanningsteknik.
Nmap Xmas Scan exempel
Följande exempel visar en artig Xmas -skanning mot LinuxHint.
nmap -sX -T2linuxhint.com 
Exempel på aggressiv julskanning mot LinuxHint.com
nmap -sX -T4linuxhint.com 
Genom att applicera flaggan -sV för versionsidentifiering kan du få mer information om specifika portar och skilja mellan filtrerade och filtrerade portar, men medan julen betraktades som en smygskanningsteknik kan detta tillägg göra genomsökningen mer synlig för brandväggar eller IDS.
nmap -sV -sX -T4linux.lat 
Iptables regler för att blockera Xmas scan
Följande iptables -regler kan skydda dig från en julskanning:
iptables-TILLINMATNING-stcp--tcp-flaggorFIN, URG, PSH FIN, URG, PSH-jSLÄPPAiptables-TILLINMATNING-stcp--tcp-flaggorALLA ALLA-jSLÄPPA
iptables-TILLINMATNING-stcp--tcp-flaggorALLA INGEN-jSLÄPPA
iptables-TILLINMATNING-stcp--tcp-flaggorSYN, RST SYN, RST-jSLÄPPA
Slutsats
Även om julskanningen inte är ny och de flesta försvarssystem kan upptäcka att det blir en föråldrad teknik mot välskyddade mål är det ett bra sätt att introducera till ovanliga TCP -segment som PSH och URG och att förstå hur Nmap analyserar paket få slutsatser om mål. Mer än en angreppsmetod är den här genomsökningen användbar för att testa din brandvägg eller system för intrångsdetektering. Iptables -reglerna som nämns ovan borde räcka för att stoppa sådana attacker från fjärrvärdar. Den här genomsökningen liknar NULL- och FIN -skanningar både på det sätt de fungerar och låg effektivitet mot skyddade mål.
Jag hoppas att du fann den här artikeln användbar som en introduktion till Xmas scan med Nmap. Fortsätt följa LinuxHint för fler tips och uppdateringar om Linux, nätverk och säkerhet.
Relaterade artiklar:
- Hur man söker efter tjänster och sårbarheter med Nmap
- Använda nmap -skript: Nmap banner grab
- nmap -nätverksskanning
- nmap ping svep
- nmap -flaggor och vad de gör
- OpenVAS Ubuntu Installation och handledning
- Installera Nexpose sårbarhetsskanner på Debian/Ubuntu
- Iptables för nybörjare
Huvudkälla: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html