Ievads Xmas Scan

Nmap Xmas skenēšana tika uzskatīta par slepenu skenēšanu, kas analizē atbildes uz Xmas paketēm, lai noteiktu atbildētāja ierīces raksturu. Katra operētājsistēma vai tīkla ierīce savādāk reaģē uz Xmas paketēm, atklājot vietējo informāciju, piemēram, OS (operētājsistēma), porta stāvokli un citu. Pašlaik daudzi ugunsmūri un ielaušanās detektēšanas sistēma var atklāt Xmas paketes, un tā nav labākā tehnika slepenas skenēšanas veikšanai, tomēr ir ārkārtīgi noderīgi saprast, kā tā darbojas.

Pēdējā rakstā par Nmap Stealth Scan tika paskaidrots, kā tiek izveidoti TCP un SYN savienojumi (jāizlasa, ja jums nav zināms), bet paketes FIN, PSH un URG ir īpaši aktuāli Ziemassvētkiem, jo ​​paketes bez SYN, RST vai ACK atvasinājumi savienojuma atiestatīšanā (RST), ja ports ir slēgts, un nav atbildes, ja ports ir atvērts. Pirms šādu pakešu neesamības ir pietiekami FIN, PSH un URG kombinācijas, lai veiktu skenēšanu.

FIN, PSH un URG paketes:

PSH: TCP buferi ļauj pārsūtīt datus, kad sūtāt vairāk nekā segmentu ar maksimālo lielumu. Ja buferis nav pilns, karodziņš PSH (PUSH) ļauj to nosūtīt jebkurā gadījumā, aizpildot galveni vai uzdodot TCP nosūtīt paketes. Izmantojot šo karodziņu, trafiku ģenerējošā lietojumprogramma informē, ka dati jānosūta nekavējoties, galamērķa informētie dati nekavējoties jānosūta pieteikumam.

URG: Šis karodziņš informē, ka noteikti segmenti ir steidzami, un tam jābūt prioritāram, kad karogs ir iespējots, uztvērējs galvenē nolasīs 16 bitu segmentu, šis segments norāda neatliekamos datus no pirmā baita. Pašlaik šis karogs ir gandrīz neizmantots.

FIN: RST paketes tika paskaidrotas iepriekš minētajā apmācībā (Nmap Maskēšanās skenēšana), pretēji RST paketēm, FIN paketes, nevis informējot par savienojuma pārtraukšanu, to prasa no mijiedarbojošā resursdatora un gaida, kamēr saņems apstiprinājumu par savienojuma pārtraukšanu.

Ostas valstis

Atvērt | filtrēts: Nmap nevar noteikt, vai ports ir atvērts vai filtrēts, pat ja ports ir atvērts, Xmas skenēšana ziņos par atvērtu | filtrētu, tas notiek, kad netiek saņemta atbilde (pat pēc atkārtotas nosūtīšanas).

Slēgts: Nmap nosaka, ka ports ir aizvērts, tas notiek, ja atbilde ir TCP RST pakete.

Filtrēts: Nmap nosaka ugunsmūri, kas filtrē skenētos portus, tas notiek, ja atbilde ir ICMP nesasniedzama kļūda (3. tips, 1., 2., 3., 9., 10. vai 13. kods). Pamatojoties uz RFC standartiem, Nmap vai Xmas scan spēj interpretēt ostas stāvokli

Xmas skenēšana, tāpat kā NULL un FIN skenēšana nevar atšķirt slēgtu un filtrētu portu, kā minēts iepriekš, ir pakešu atbilde, kas ir ICMP kļūda Nmap to atzīmē kā filtrētu, bet kā paskaidrots Nmap grāmatā, ja zonde ir aizliegts bez atbildes, šķiet, ka tas ir atvērts, tāpēc Nmap parāda atvērtās un dažas filtrētās ostas kā atvērtas | filtrētas

Kādi aizsardzības līdzekļi var atklāt Xmas skenēšanu?: Bezvalstnieku ugunsmūri vs Valsts ugunsmūri:

Bezvalstnieki vai nevalstiski ugunsmūri veic politikas saskaņā ar trafika avotu, galamērķi, ostām un līdzīgiem noteikumiem, ignorējot TCP steku vai protokola datagrammu. Pretstatā ugunsmūriem bez valsts kodiem, Valsts ugunsmūri, tas var analizēt paketes, kas nosaka viltotas paketes, MTU (maksimālās pārraides vienības) manipulācijas un citas Nmap un citas skenēšanas programmatūras sniegtās metodes, lai apietu ugunsmūra drošību. Tā kā Xmas uzbrukums ir manipulācija ar pakešām, visticamāk, ka atklātie ugunsmūri to atklās, bet bezvalstnieki - uzlaušanas detektēšanas sistēma arī noteiks šo uzbrukumu, ja tas būs pareizi konfigurēts.

Laika veidnes:

Paranoīds: -T0, ļoti lēns, noderīgs, lai apietu IDS (ielaušanās detektēšanas sistēmas)
Viltīgs: -T1, ļoti lēns, noderīgs arī apiet IDS (ielaušanās detektēšanas sistēmas)
Pieklājīgs: -T2, neitrāls.
Normāls: -T3, tas ir noklusējuma režīms.
Agresīvs: -T4, ātra skenēšana.
Ārprāts: -T5, ātrāk nekā agresīvas skenēšanas tehnika.

Nmap Xmas Scan piemēri

Šis piemērs parāda pieklājīgu Xmas skenēšanu pret LinuxHint.

nmap -sX -T2 linuxhint.com

Aggressive Xmas Scan pret LinuxHint piemērs.com

nmap -sX -T4 linuxhint.com

Piemērojot karogu -sV versiju noteikšanai varat iegūt vairāk informācijas par konkrētām ostām un atšķirt filtrētās un filtrētās ostas, taču, lai gan Xmas tika uzskatīta par slepenu skenēšanas tehniku, šis papildinājums var padarīt skenēšanu redzamāku ugunsmūriem vai IDS.

nmap -sV -sX -T4 linux.lat

Iptables noteikumi, lai bloķētu Xmas skenēšanu

Šādi iptables noteikumi var pasargāt jūs no Xmas skenēšanas:

iptables -A INPUT -p tcp - tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROP
iptables -A INPUT -p tcp - tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp - tcp-flags VISI NEKĀDI -j DROP
iptables -A INPUT -p tcp - tcp-flags SYN, RST SYN, RST -j DROP

Secinājums

Kaut arī Xmas skenēšana nav jauna, un lielākā daļa aizsardzības sistēmu spēj noteikt, ka tā kļūst novecojusi tehnika pret labi aizsargātiem mērķiem, tas ir lielisks veids, kā iepazīstināt ar retāk sastopamiem TCP segmentiem, piemēram, PSH un URG, un saprast, kā Nmap analizē paketes. iegūt secinājumus par mērķiem. Šī pārbaude ir vairāk nekā uzbrukuma metode, lai pārbaudītu ugunsmūri vai ielaušanās detektēšanas sistēmu. Ar iepriekš minētajiem iptables noteikumiem vajadzētu būt pietiekamiem, lai apturētu šādus uzbrukumus no attāliem saimniekiem. Šī skenēšana ir ļoti līdzīga NULL un FIN skenēšanai gan pēc to darbības veida, gan ar zemu efektivitāti pret aizsargātiem mērķiem.

Es ceru, ka šis raksts jums noderēja kā ievads Xmas skenēšanai, izmantojot Nmap. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux, tīklu un drošību.

Saistītie raksti:

• Kā meklēt pakalpojumus un ievainojamības, izmantojot Nmap
• Izmantojot nmap skriptus: Nmap banera satveršana
• nmap tīkla skenēšana
• nmap ping slaucīšana
• nmap karogi un ko viņi dara
• OpenVAS Ubuntu instalēšana un apmācība
• Nexpose ievainojamības skenera instalēšana Debian / Ubuntu
• Iptables iesācējiem

Galvenais avots: https: // nmap.org / grāmata / skenēšanas metodes-null-fin-xmas-scan.html