Nmap Xmas -scanning blev betragtet som en snigende scanning, der analyserer svar på julepakker for at bestemme besvarelsesenhedens beskaffenhed. Hvert operativsystem eller netværksenhed reagerer på en anden måde på julepakker, der afslører lokale oplysninger som f.eks. OS (operativsystem), porttilstand og mere. I øjeblikket kan mange firewalls og indtrængningsdetektionssystem registrere julepakker, og det er ikke den bedste teknik at udføre en stealth -scanning, men det er yderst nyttigt at forstå, hvordan det fungerer.
I den sidste artikel om Nmap Stealth Scan blev forklaret, hvordan TCP- og SYN -forbindelser etableres (skal læses, hvis det er ukendt for dig), men pakkerne ENDE , PA og URG er især relevante til jul, fordi pakker uden SYN, RST eller ALAS derivater i en forbindelsesnulstilling (RST), hvis porten er lukket, og der ikke er noget svar, hvis porten er åben. Inden fraværet af sådanne pakker er kombinationer af FIN, PSH og URG nok til at udføre scanningen.
FIN-, PSH- og URG -pakker:
PSH: TCP -buffere tillader dataoverførsel, når du sender mere end et segment med maksimm -størrelse. Hvis bufferen ikke er fuld, tillader flag PSH (PUSH) alligevel at sende den ved at udfylde overskriften eller instruere TCP om at sende pakker. Gennem dette flag informerer applikationen, der genererer trafik, dataene skal sendes med det samme, destinationen er informeret data skal sendes straks til applikationen.
URG: Dette flag informerer om, at specifikke segmenter er presserende og skal prioriteres. Når flaget er aktiveret, vil modtageren læse et 16 bits segment i overskriften, dette segment angiver de hastende data fra den første byte. I øjeblikket er dette flag næsten ubrugt.
ENDE: RST -pakker blev forklaret i selvstudiet nævnt ovenfor ( Nmap Stealth Scan ), i modsætning til RST -pakker, FIN -pakker i stedet for at informere om afslutning af forbindelsen, anmoder den om det fra den interagerende vært og venter, indtil de får en bekræftelse på at afslutte forbindelsen.
Havn stater
Åben | filtreret: Nmap kan ikke opdage, om porten er åben eller filtreret, selvom porten er åben, rapporterer julescanningen den som åben | filtreret, det sker, når der ikke modtages noget svar (selv efter genudsendelser).
Lukket: Nmap registrerer, at porten er lukket, det sker, når svaret er en TCP RST -pakke.
Filtreret: Nmap opdager en firewall, der filtrerer de scannede porte, det sker, når svaret er ICMP -utilgængelig fejl (type 3, kode 1, 2, 3, 9, 10 eller 13). Baseret på RFC -standarderne er Nmap eller Xmas -scanningen i stand til at fortolke porttilstanden
Julescanningen, ligesom NULL- og FIN -scanningen ikke kan skelne mellem en lukket og filtreret port, som nævnt ovenfor, er pakkesvaret en ICMP -fejl Nmap mærker den som filtreret, men som forklaret på Nmap -bog, hvis sonden er forbudt uden svar synes det åbnet, derfor viser Nmap åbne porte og visse filtrerede porte som åbne | filtrerede
Hvilket forsvar kan registrere en julescanning?: Stateless firewalls vs Stateful firewalls:
Statsløse eller ikke-statefulde firewalls udfører politikker i henhold til trafikkilden, destinationen, havne og lignende regler og ignorerer TCP-stakken eller protokoldatagrammet. I modsætning til Stateless firewalls, Stateful firewalls kan den analysere pakker, der registrerer forfalskede pakker, MTU (Maximum transmission Unit) manipulation og andre teknikker leveret af Nmap og anden scanningssoftware til at omgå firewall -sikkerhed. Da juleangrebet er en manipulation af pakker, vil statefulde firewalls sandsynligvis opdage det, mens statsløse firewalls ikke er det, vil Intrusion Detection System også registrere dette angreb, hvis det er konfigureret korrekt.
Timing skabeloner:
Paranoid: -T0, ekstremt langsom, nyttig til at omgå IDS (Intrusion Detection Systems)
Luskede: -T1, meget langsom, også nyttig til at omgå IDS (Intrusion Detection Systems)
Høflig: -T2, neutral.
Normal: -T3, dette er standardtilstanden.
Aggressiv: -T4, hurtig scanning.
Sindssyg: -T5, hurtigere end aggressiv scanningsteknik.
Nmap Xmas Scan eksempler
Følgende eksempel viser en høflig julescanning mod LinuxHint.
nmap -sX -T2linuxhint.com 
Eksempel på aggressiv julescanning mod LinuxHint.com
nmap -sX -T4linuxhint.com 
Ved at anvende flaget -sV til versionsregistrering kan du få flere oplysninger om bestemte porte og skelne mellem filtrerede og filtrerede porte, men mens jul blev betragtet som en stealth -scanningsteknik, kan denne tilføjelse gøre scanningen mere synlig for firewalls eller IDS.
nmap -sV -sX -T4linux.lat 
Iptables regler for blokering af julescanning
Følgende iptables -regler kan beskytte dig mod en julescanning:
iptables-TILINPUT-stcp--tcp-flagFIN, URG, PSH FIN, URG, PSH-jDRÅBEiptables-TILINPUT-stcp--tcp-flagALLE ALLE-jDRÅBE
iptables-TILINPUT-stcp--tcp-flagALLE INGEN-jDRÅBE
iptables-TILINPUT-stcp--tcp-flagSYN, RST SYN, RST-jDRÅBE
Konklusion
Selvom julescanningen ikke er ny, og de fleste forsvarssystemer er i stand til at opdage, at det bliver en forældet teknik mod velbeskyttede mål, er det en god måde at introducere til ualmindelige TCP -segmenter som PSH og URG og at forstå, hvordan Nmap analyserer pakker få konklusioner om mål. Denne scanning er mere end en angrebsmetode nyttig til at teste din firewall eller indbrudsdetekteringssystem. Iptables -reglerne nævnt ovenfor burde være nok til at stoppe sådanne angreb fra eksterne værter. Denne scanning ligner meget NULL- og FIN -scanninger både på den måde, de fungerer på og lav effektivitet mod beskyttede mål.
Jeg håber, at du fandt denne artikel nyttig som en introduktion til julescanning ved hjælp af Nmap. Fortsæt med at følge LinuxHint for flere tips og opdateringer om Linux, netværk og sikkerhed.
Relaterede artikler:
- Sådan scannes efter tjenester og sårbarheder med Nmap
- Brug af nmap -scripts: Nmap banner grab
- nmap netværksscanning
- nmap ping sweep
- nmap -flag og hvad de laver
- OpenVAS Ubuntu Installation og vejledning
- Installation af Nexpose sårbarhedsscanner på Debian/Ubuntu
- Iptables for begyndere
Hovedkilde: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html