Introduksjon til Xmas Scan
Nmap Xmas-skanning ble ansett som en skjult skanning som analyserer svar på Xmas-pakker for å bestemme besvarelsesenhetens art. Hvert operativsystem eller nettverksenhet reagerer på en annen måte på Xmas-pakker som avslører lokal informasjon som OS (operativsystem), porttilstand og mer. For tiden kan mange brannmurer og Intrusion Detection System oppdage Xmas-pakker, og det er ikke den beste teknikken for å utføre en skjult skanning, men det er ekstremt nyttig å forstå hvordan det fungerer.
I den siste artikkelen om Nmap Stealth Scan ble forklart hvordan TCP- og SYN-forbindelser er etablert (må lese hvis ukjent for deg), men pakkene FIN, PSH og URG er spesielt relevante for Xmas fordi pakker uten SYN, RST eller ACK derivater i en tilbakestilling av forbindelsen (RST) hvis porten er stengt og ikke svar hvis porten er åpen. Før fraværet av slike pakker er kombinasjoner av FIN, PSH og URG nok til å utføre skanningen.
FIN-, PSH- og URG-pakker:
PSH: TCP-buffere tillater dataoverføring når du sender mer enn et segment med maksimal størrelse. Hvis bufferen ikke er full, tillater flagget PSH (PUSH) å sende den uansett ved å fylle overskriften eller instruere TCP om å sende pakker. Gjennom dette flagget informerer applikasjonen som genererer trafikk om at dataene må sendes umiddelbart, destinasjonen blir informert data må sendes umiddelbart til applikasjonen.
URG: Dette flagget informerer om at spesifikke segmenter haster og må prioriteres. Når flagget er aktivert, vil mottakeren lese et 16-bits segment i overskriften, dette segmentet indikerer de hastende dataene fra den første byten. Foreløpig er dette flagget nesten ubrukt.
FIN: RST-pakker ble forklart i veiledningen nevnt ovenfor (Nmap Stealth Scan), i motsetning til RST-pakker, ber FIN-pakker i stedet for å informere om tilkoblingsterminering om det fra den samhandlende verten og venter til de får en bekreftelse på å avslutte forbindelsen.
Havnestater
Åpne | filtrert: Nmap kan ikke oppdage om porten er åpen eller filtrert, selv om porten er åpen, vil Xmas-skanningen rapportere den som åpen | filtrert, det skjer når ingen svar mottas (selv etter retransmissjoner).
Lukket: Nmap oppdager at porten er stengt, det skjer når svaret er en TCP RST-pakke.
Filtrert: Nmap oppdager en brannmur som filtrerer de skannede portene. Det skjer når svaret er feil ICMP (type 3, kode 1, 2, 3, 9, 10 eller 13). Basert på RFC-standardene er Nmap eller Xmas-skanning i stand til å tolke porttilstanden
Xmas-skanningen, akkurat som NULL- og FIN-skanningen ikke kan skille mellom en lukket og filtrert port, som nevnt ovenfor, er at pakkesvaret er en ICMP-feil. Nmap merker den som filtrert, men som forklart på Nmap-boken hvis sonden er utestengt uten svar virker det åpnet, derfor viser Nmap åpne porter og visse filtrerte porter som åpne | filtrerte
Hvilket forsvar kan oppdage en Xmas-skanning?: Statsløse brannmurer vs Stateful brannmurer:
Statsløse eller ikke-stateful brannmurer utfører policyer i henhold til trafikkilde, destinasjon, porter og lignende regler som ignorerer TCP stack eller Protocol datagram. I motsetning til Stateless brannmurer, Stateful firewalls, kan den analysere pakker som oppdager smidde pakker, MTU (Maximum transmission Unit) manipulering og andre teknikker levert av Nmap og annen skanningsprogramvare for å omgå brannmuresikkerhet. Siden Xmas-angrepet er en manipulering av pakker, vil stateful brannmurer sannsynligvis oppdage det mens statsløse brannmurer ikke er det, vil Intrusion Detection System også oppdage dette angrepet hvis det er konfigurert riktig.
Timingsmaler:
Paranoid: -T0, ekstremt treg, nyttig å omgå IDS (Intrusion Detection Systems)
Luskete: -T1, veldig sakte, også nyttig å omgå IDS (Intrusion Detection Systems)
Høflig: -T2, nøytral.
Vanlig: -T3, dette er standardmodus.
Aggressiv: -T4, rask skanning.
Sinnsyk: -T5, raskere enn Aggressiv skanningsteknikk.
Nmap Xmas Scan eksempler
Følgende eksempel viser en høflig Xmas-skanning mot LinuxHint.
nmap -sX -T2 linuxhint.com
Eksempel på Aggressive Xmas Scan mot LinuxHint.com
nmap -sX -T4 linuxhint.com
Ved å bruke flagget -sV for versjonsgjenkjenning kan du få mer informasjon om bestemte porter og skille mellom filtrerte og filtrerte porter, men mens Xmas ble ansett som en skjult teknikk, kan dette tillegget gjøre skanningen mer synlig for brannmurer eller IDS.
nmap -sV -sX -T4 linux.lat
Iptables-regler for å blokkere Xmas-skanning
Følgende iptables-regler kan beskytte deg mot en Xmas-skanning:
iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROPiptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INNGANG -p tcp --tcp-flagg ALLE INGEN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
Konklusjon
Mens Xmas-skanningen ikke er ny, og de fleste forsvarssystemer er i stand til å oppdage at den blir en foreldet teknikk mot godt beskyttede mål, er det en flott måte å introdusere til uvanlige TCP-segmenter som PSH og URG og å forstå måten Nmap analyserer pakker på. få konklusjoner om mål. Mer enn en angrepsmetode er denne skanningen nyttig for å teste brannmuren eller Intrusion Detection System. Iptables-reglene nevnt ovenfor bør være nok til å stoppe slike angrep fra eksterne verter. Denne skanningen er veldig lik NULL- og FIN-skanninger både i måten de fungerer på og med lav effektivitet mot beskyttede mål.
Jeg håper du fant denne artikkelen nyttig som en introduksjon til Xmas-skanning ved hjelp av Nmap. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux, nettverk og sikkerhet.
Relaterte artikler:
- Hvordan søke etter tjenester og sårbarheter med Nmap
- Bruke nmap-skript: Nmap-bannergrep
- nmap nettverksskanning
- nmap ping feie
- nmap-flagg og hva de gjør
- OpenVAS Ubuntu Installasjon og veiledning
- Installere Nexpose Sårbarhetsskanner på Debian / Ubuntu
- Iptables for nybegynnere
Hovedkilde: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html