Phenquestions
Введение в Xmas Scan
Xmas-сканирование Nmap считалось скрытым сканированием, которое анализирует ответы на Xmas-пакеты, чтобы определить природу отвечающего устройства. Каждая операционная система или сетевое устройство по-разному реагирует на рождественские пакеты, раскрывая локальную информацию, такую как ОС (операционная система), состояние порта и т. Д. В настоящее время многие брандмауэры и системы обнаружения вторжений могут обнаруживать рождественские пакеты, и это не лучший метод для выполнения скрытого сканирования, но очень полезно понять, как это работает.
В последней статье о Nmap Stealth Scan было объяснено, как устанавливаются TCP- и SYN-соединения (необходимо прочитать, если вам неизвестно), но пакеты ПЛАВНИК, PSH а также URG особенно актуальны для Рождества, потому что пакеты без SYN, RST или же ACK производные при сбросе соединения (RST), если порт закрыт, и нет ответа, если порт открыт. При отсутствии таких пакетов для сканирования достаточно комбинаций FIN, PSH и URG.
Пакеты FIN, PSH и URG:
PSH: Буферы TCP позволяют передавать данные, когда вы отправляете больше сегмента с максимальным размером. Если буфер не заполнен, флаг PSH (PUSH) позволяет отправить его в любом случае, заполнив заголовок или указав TCP отправлять пакеты. С помощью этого флага приложение, генерирующее трафик, сообщает, что данные должны быть отправлены немедленно, адресат получает информацию, данные должны быть немедленно отправлены в приложение.
URG: Этот флаг сообщает, что определенные сегменты являются срочными и должны иметь приоритет, когда флаг включен, получатель будет читать 16-битный сегмент в заголовке, этот сегмент указывает на срочные данные из первого байта. В настоящее время этот флаг почти не используется.
ПЛАВНИК: Пакеты RST были объяснены в упомянутом выше руководстве (Nmap Stealth Scan), в отличие от пакетов RST, пакеты FIN вместо того, чтобы сообщать о завершении соединения, запрашивают его у взаимодействующего хоста и ждут, пока не будет получено подтверждение о завершении соединения.
Состояния порта
Открыть | отфильтровано: Nmap не может определить, открыт порт или отфильтрован, даже если порт открыт, сканирование Xmas сообщит, что он открыт | фильтруется, это происходит, когда не получено никакого ответа (даже после повторных передач).
Закрыто: Nmap обнаруживает, что порт закрыт, это происходит, когда ответ представляет собой пакет TCP RST.
Отфильтровано: Nmap обнаруживает брандмауэр, фильтрующий просканированные порты, это происходит, когда ответ - ошибка недоступности ICMP (тип 3, код 1, 2, 3, 9, 10 или 13). На основе стандартов RFC Nmap или Xmas scan способны интерпретировать состояние порта
Xmas-сканирование, так же как сканирование NULL и FIN не может различить закрытый и отфильтрованный порт, как упоминалось выше, это ответ пакета - это ошибка ICMP. Nmap помечает его как отфильтрованный, но, как описано в книге Nmap, если зонд забанен без ответа, он кажется открытым, поэтому Nmap показывает открытые порты и определенные отфильтрованные порты как открытые | отфильтрованные
Какие средства защиты могут обнаружить сканирование Xmas?: Межсетевые экраны без сохранения состояния против межсетевых экранов с отслеживанием состояния:
Межсетевые экраны без отслеживания состояния или без отслеживания состояния реализуют политики в соответствии с источником трафика, пунктом назначения, портами и аналогичными правилами, игнорируя стек TCP или дейтаграмму протокола. В отличие от межсетевых экранов без сохранения состояния, межсетевых экранов с отслеживанием состояния, он может анализировать пакеты, обнаруживая поддельные пакеты, манипулирование MTU (максимальная единица передачи) и другие методы, предоставляемые Nmap и другим программным обеспечением сканирования для обхода безопасности межсетевого экрана. Поскольку Xmas-атака представляет собой манипулирование пакетами, межсетевые экраны с отслеживанием состояния могут обнаружить ее, а межсетевые экраны без отслеживания состояния - нет, система обнаружения вторжений также обнаружит эту атаку при правильной настройке.
Шаблоны времени:
Параноик: -T0, очень медленный, полезен для обхода IDS (систем обнаружения вторжений)
Подлый: -T1, очень медленный, также полезен для обхода IDS (систем обнаружения вторжений)
Вежливый: -Т2, нейтральный.
Обычный: -T3, это режим по умолчанию.
Агрессивный: -T4, быстрое сканирование.
Безумный: -T5, быстрее, чем метод агрессивного сканирования.
Примеры сканирования Nmap Xmas
В следующем примере показано вежливое сканирование Xmas на LinuxHint.
nmap -sX -T2 linuxhint.ком
Пример агрессивного сканирования Xmas против LinuxHint.ком
nmap -sX -T4 linuxhint.ком
Применяя флаг -sV для определения версии вы можете получить дополнительную информацию о конкретных портах и различать отфильтрованные и отфильтрованные порты, но хотя Рождество считалось методом скрытого сканирования, это добавление может сделать сканирование более заметным для брандмауэров или IDS.
nmap -sV -sX -T4 Linux.широта
Правила iptables для блокировки сканирования Xmas
Следующие правила iptables могут защитить вас от сканирования Xmas:
iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROPiptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
Заключение
Хотя сканирование Xmas не ново, и большинство систем защиты способны обнаружить, что он становится устаревшим методом против хорошо защищенных целей, это отличный способ познакомиться с необычными сегментами TCP, такими как PSH и URG, и понять, как Nmap анализирует пакеты. делать выводы по целям. Это сканирование не только метод атаки, но и полезен для проверки вашего брандмауэра или системы обнаружения вторжений. Упомянутых выше правил iptables должно быть достаточно, чтобы остановить такие атаки с удаленных хостов. Это сканирование очень похоже на сканирование NULL и FIN как по принципу работы, так и по низкой эффективности против защищенных целей.
Надеюсь, вы нашли эту статью полезной в качестве введения в сканирование Xmas с использованием Nmap. Следите за LinuxHint, чтобы получить больше советов и обновлений по Linux, сети и безопасности.
Статьи по Теме:
- Как сканировать сервисы и уязвимости с помощью Nmap
- Использование скриптов nmap: захват баннера Nmap
- сканирование сети nmap
- Nmap ping sweep
- флаги nmap и что они делают
- Установка и руководство OpenVAS Ubuntu
- Установка сканера уязвимостей Nexpose в Debian / Ubuntu
- Iptables для начинающих
Основной источник: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html
