Vánoční sken Nmap

Nmap Xmas Scan



Nmap Xmas scan byl považován za nenápadný sken, který analyzuje reakce na vánoční pakety za účelem určení povahy odpovídajícího zařízení. Každý operační systém nebo síťové zařízení reaguje na vánoční balíčky jiným způsobem a odhaluje místní informace, jako je OS (operační systém), stav portu a další. V současné době mnoho firewallů a systému detekce narušení dokáže detekovat vánoční pakety a není to nejlepší technika k provedení skrytého skenování, přesto je nesmírně užitečné pochopit, jak to funguje.

V posledním článku o Nmap Stealth Scan bylo vysvětleno, jak se navazují připojení TCP a SYN (musí se číst, pokud vám není znám), ale pakety KONEC , PA a URG jsou zvláště důležité pro Vánoce, protože pakety bez SYN, RST nebo BĚDA deriváty v resetování připojení (RST), pokud je port zavřený a žádná odpověď, pokud je port otevřený. Před absencí takových paketů stačí kombinace FIN, PSH a URG k provedení skenování.







Pakety FIN, PSH a URG:

PSH: Vyrovnávací paměti TCP umožňují přenos dat, pokud odešlete více než segment s maximální velikostí. Pokud není vyrovnávací paměť plná, příznak PSH (PUSH) umožňuje jej odeslat tak, že vyplníte záhlaví nebo instruujete TCP k odesílání paketů. Prostřednictvím tohoto příznaku aplikace generující provoz informuje, že data musí být odeslána okamžitě, cíl je informován, data musí být odeslána okamžitě do aplikace.



URG: Tento příznak informuje, že konkrétní segmenty jsou naléhavé a musí mít prioritu, když je příznak povolen, přijímač načte 16bitový segment v záhlaví, tento segment označuje naléhavá data z prvního bajtu. V současné době je tento příznak téměř nepoužívaný.



KONEC: Pakety RST byly vysvětleny ve výše uvedeném tutoriálu ( Utajené skenování Nmap ), na rozdíl od RST paketů, pakety FIN místo informování o ukončení připojení jej vyžadují od interagujícího hostitele a čekají, až obdrží potvrzení o ukončení připojení.





Přístavní státy

Otevřít | filtrováno: Nmap nemůže detekovat, zda je port otevřený nebo filtrovaný, i když je port otevřený, vánoční kontrola jej nahlásí jako otevřený | filtrovaný, to se stane, když není přijata žádná odpověď (ani po opětovném přenosu).

Zavřeno: Nmap zjistí, že je port zavřený, což se stane, když je odpovědí paket TCP RST.



Filtrovaný: Nmap detekuje bránu firewall filtrující naskenované porty, k tomu dojde, když je odpovědí nedosažitelná chyba ICMP (typ 3, kód 1, 2, 3, 9, 10 nebo 13). Na základě standardů RFC je Nmap nebo Xmas scan schopen interpretovat stav portu

Vánoční skenování, stejně jako skenování NULL a FIN nedokáže rozlišit mezi uzavřeným a filtrovaným portem, jak je uvedeno výše, spočívá v tom, že paketová odpověď je chyba ICMP Nmap jej označí jako filtrovaný, ale jak je vysvětleno v knize Nmap, pokud je sonda baned without response zdá se otevřený, proto Nmap ukazuje otevřené porty a určité filtrované porty jako otevřené | filtrované

Jaké obrany mohou detekovat vánoční sken?: Bezstavové brány firewall vs. stavové brány firewall:

Bezstavové nebo nestátní brány firewall provádějí zásady podle zdroje provozu, cíle, portů a podobných pravidel, přičemž ignorují zásobník TCP nebo datagram protokolu. Na rozdíl od bezstavových firewallů, stavových firewallů, dokáže analyzovat pakety detekující padělané pakety, manipulaci s MTU (maximální přenosovou jednotkou) a další techniky poskytované Nmapem a dalším skenovacím softwarem k obejití zabezpečení brány firewall. Jelikož je vánoční útok manipulací s pakety, stavové brány firewall jej pravděpodobně detekují, zatímco bezstavové brány firewall nejsou, systém detekce narušení také detekuje tento útok, pokud je správně nakonfigurován.

Šablony časování:

Paranoidní: -T0, extrémně pomalý, užitečný k obejití IDS (systémy detekce narušení)
Záludný: -T1, velmi pomalý, také užitečný pro obejití IDS (systémy detekce narušení)
Zdvořilý: -T2, neutrální.
Normální: -T3, toto je výchozí režim.
Agresivní: -T4, rychlé skenování.
Šílený: -T5, rychlejší než technika agresivního skenování.

Příklady Nmap Xmas Scan

Následující příklad ukazuje zdvořilý vánoční sken proti LinuxHint.

nmap -sX -T2linuxhint.com

Příklad agresivního vánočního skenování proti LinuxHint.com

nmap -sX -T4linuxhint.com

Použitím vlajky -sV pro zjišťování verzí můžete získat více informací o konkrétních portech a rozlišovat mezi filtrovanými a filtrovanými porty, ale zatímco Vánoce byly považovány za nenápadnou skenovací techniku, toto přidání může kontrolu lépe zviditelnit pro brány firewall nebo IDS.

nmap -sV -sX -T4linux.lat

Pravidla Iptables pro blokování vánočního skenování

Před vánočním skenováním vás mohou chránit následující pravidla iptables:

iptables-NAVSTUP-ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jUPUSTIT
iptables-NAVSTUP-ptcp--tcp-flagsVŠECHNO VŠE-jUPUSTIT
iptables-NAVSTUP-ptcp--tcp-flagsVŠE ŽÁDNÝ-jUPUSTIT
iptables-NAVSTUP-ptcp--tcp-flagsSYN, RST SYN, RST-jUPUSTIT

Závěr

Zatímco vánoční skenování není novinkou a většina obranných systémů je schopna detekovat, že se z něj stává zastaralá technika proti dobře chráněným cílům, je to skvělý způsob, jak se seznámit s neobvyklými segmenty TCP, jako je PSH a URG, a porozumět způsobu, jakým Nmap analyzuje pakety vyvodit závěry o cílech. Tato kontrola je více než metoda útoku užitečná k otestování brány firewall nebo systému detekce narušení. Výše uvedená pravidla iptables by měla stačit k zastavení takových útoků ze vzdálených hostitelů. Toto skenování je velmi podobné skenování NULL a FIN, a to jak způsobem, jakým fungují, tak nízkou účinností proti chráněným cílům.

Doufám, že jste tento článek považovali za užitečný jako úvod do vánočního skenování pomocí Nmap. Sledujte LinuxHint, abyste získali další tipy a aktualizace týkající se Linuxu, sítí a zabezpečení.

Související články:

  • Jak vyhledávat služby a chyby zabezpečení pomocí Nmap
  • Použití skriptů nmap: Uchopení banneru Nmap
  • skenování sítě nmap
  • nmap ping zamést
  • vlajky nmap a co dělají
  • Instalace a návod OpenVAS Ubuntu
  • Instalace skeneru chyby zabezpečení Nexpose na Debian/Ubuntu
  • Iptables pro začátečníky

Hlavní zdroj: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html