Nmap Xmas scan ble ansett som en skjult skanning som analyserer svar på julepakker for å bestemme besvarelsesenhetens beskaffenhet. Hvert operativsystem eller nettverksenhet reagerer på en annen måte på julepakker som avslører lokal informasjon som OS (operativsystem), portstatus og mer. For tiden kan mange brannmurer og Intrusion Detection System oppdage julepakker, og det er ikke den beste teknikken for å utføre en stealth -skanning, men det er ekstremt nyttig å forstå hvordan det fungerer.
I den siste artikkelen om Nmap Stealth Scan ble forklart hvordan TCP- og SYN -tilkoblinger etableres (må leses hvis det er ukjent for deg), men pakkene SLUTT , PA og URG er spesielt relevante for julen fordi pakker uten SYN, RST eller ALAS derivater i en tilkoblingsreset (RST) hvis porten er lukket og ingen respons hvis porten er åpen. Før fravær av slike pakker er kombinasjoner av FIN, PSH og URG nok til å utføre skanningen.
FIN-, PSH- og URG -pakker:
PSH: TCP -buffere tillater dataoverføring når du sender mer enn et segment med maksimm -størrelse. Hvis bufferen ikke er full, tillater flagget PSH (PUSH) å sende det uansett ved å fylle toppteksten eller instruere TCP om å sende pakker. Gjennom dette flagget informerer applikasjonen som genererer trafikk om at dataene må sendes umiddelbart, destinasjonen er informert data må sendes umiddelbart til applikasjonen.
URG: Dette flagget informerer om at spesifikke segmenter er presserende og må prioriteres. Når flagget er aktivert, vil mottakeren lese et 16 bits segment i overskriften, dette segmentet indikerer de presserende dataene fra den første byten. For øyeblikket er dette flagget nesten ubrukt.
SLUTT: RST -pakker ble forklart i opplæringen nevnt ovenfor ( Nmap Stealth Scan ), i motsetning til RST -pakker, krever FIN -pakker i stedet for å informere om avslutning av tilkobling det fra den samhandlende verten og venter til han får en bekreftelse på å avslutte forbindelsen.
Havnestater
Åpen | filtrert: Nmap kan ikke oppdage om porten er åpen eller filtrert, selv om porten er åpen, vil juleskanningen rapportere det som åpent | filtrert, det skjer når det ikke mottas noe svar (selv etter gjenoverføringer).
Lukket: Nmap oppdager at porten er stengt, det skjer når responsen er en TCP RST -pakke.
Filtrert: Nmap oppdager en brannmur som filtrerer de skannede portene, det skjer når svaret er ICMP -utilgjengelig feil (type 3, kode 1, 2, 3, 9, 10 eller 13). Basert på RFC -standardene er Nmap eller Xmas -skanningen i stand til å tolke porttilstanden
Juleskanningen, akkurat som NULL- og FIN -skanningen ikke kan skille mellom en lukket og filtrert port, som nevnt ovenfor, er pakkesvaret er en ICMP -feil Nmap merker den som filtrert, men som forklart på Nmap -boken hvis sonden er utestengt uten svar virker det åpnet, derfor viser Nmap åpne porter og visse filtrerte porter som åpne | filtrert
Hvilke forsvar kan oppdage en juleskanning?: Stateless brannmurer vs Stateful brannmurer:
Statsløse eller ikke-stateful brannmurer utfører retningslinjer i henhold til trafikkilden, destinasjonen, porter og lignende regler og ignorerer TCP-stakken eller protokolldatagrammet. I motsetning til Stateless brannmurer, Stateful brannmurer, kan den analysere pakker som oppdager forfalskede pakker, MTU (Maximum transmission Unit) manipulasjon og andre teknikker levert av Nmap og annen skanningsprogramvare for å omgå brannmur sikkerhet. Siden juleangrepet er en manipulasjon av pakker, vil stateful brannmurer sannsynligvis oppdage det mens statsløse brannmurer ikke er det, og Intrusion Detection System vil også oppdage dette angrepet hvis det er riktig konfigurert.
Timing maler:
Paranoid: -T0, ekstremt treg, nyttig for å omgå IDS (Intrusion Detection Systems)
Snikete: -T1, veldig treg, også nyttig for å omgå IDS (Intrusion Detection Systems)
Høflig: -T2, nøytral.
Vanlig: -T3, dette er standardmodus.
Aggressiv: -T4, rask skanning.
Sinnsyk: -T5, raskere enn aggressiv skanningsteknikk.
Nmap Xmas Scan -eksempler
Følgende eksempel viser en høflig juleskanning mot LinuxHint.
nmap -sX -T2linuxhint.com 
Eksempel på aggressiv juleskanning mot LinuxHint.com
nmap -sX -T4linuxhint.com 
Ved å bruke flagget -sV for versjonsgjenkjenning kan du få mer informasjon om spesifikke porter og skille mellom filtrerte og filtrerte porter, men mens julen ble ansett som en skjult skanneteknikk, kan dette tillegget gjøre skanningen mer synlig for brannmurer eller IDS.
nmap -sV -sX -T4linux.lat 
Iptables -regler for blokkering av juleskanning
Følgende iptables -regler kan beskytte deg mot en juleskanning:
iptables-TILINNGANG-stcp--tcp-flaggFIN, URG, PSH FIN, URG, PSH-jMISTEiptables-TILINNGANG-stcp--tcp-flaggALLE ALLE-jMISTE
iptables-TILINNGANG-stcp--tcp-flaggALLE INGEN-jMISTE
iptables-TILINNGANG-stcp--tcp-flaggSYN, RST SYN, RST-jMISTE
Konklusjon
Selv om juleskanningen ikke er ny, og de fleste forsvarssystemer er i stand til å oppdage at den blir en foreldet teknikk mot godt beskyttede mål, er den en flott måte å introdusere uvanlige TCP -segmenter som PSH og URG og å forstå måten Nmap analyserer pakker på. få konklusjoner om mål. Denne skanningen er mer enn en angrepsmetode, nyttig for å teste brannmuren eller system for inntrengingsdeteksjon. Iptables -reglene nevnt ovenfor burde være nok til å stoppe slike angrep fra eksterne verter. Denne skanningen ligner veldig på NULL- og FIN -skanninger både på måten de fungerer på og lav effektivitet mot beskyttede mål.
Jeg håper du fant denne artikkelen nyttig som en introduksjon til juleskanning ved hjelp av Nmap. Følg LinuxHint for flere tips og oppdateringer om Linux, nettverk og sikkerhet.
Relaterte artikler:
- Slik søker du etter tjenester og sårbarheter med Nmap
- Bruke nmap -skript: Nmap banner grab
- nmap nettverksskanning
- nmap ping fei
- nmap flagg og hva de gjør
- OpenVAS Ubuntu Installasjon og opplæring
- Installere Nexpose Sårbarhetsskanner på Debian/Ubuntu
- Iptables for nybegynnere
Hovedkilde: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html