Phenquestions
Uvod u Xmas Scan
Nmap Xmas skeniranje smatralo se potajnim skeniranjem koje analizira odgovore na Xmas pakete kako bi se utvrdila priroda uređaja koji odgovara. Svaki operativni sustav ili mrežni uređaj na različit način reagira na Xmas pakete otkrivajući lokalne informacije kao što su OS (operativni sustav), stanje priključka i više. Trenutno mnogi zaštitni zidovi i sustav za otkrivanje upada mogu otkriti Xmas pakete i nije najbolja tehnika za provođenje skrivenog skeniranja, no izuzetno je korisno razumjeti kako to funkcionira.
U posljednjem članku o Nmap Stealth Scan-u objašnjeno je kako se uspostavljaju TCP i SYN veze (moraju biti pročitane ako su vam nepoznate), ali paketi PERAJE, PSH i URG su posebno relevantni za Božić jer paketi bez SYN, RST ili ACK derivati u resetiranju veze (RST) ako je port zatvoren i nema odgovora ako je port otvoren. Prije odsustva takvih paketa kombinacije FIN, PSH i URG dovoljne su za provođenje skeniranja.
FIN, PSH i URG paketi:
PSH: TCP međuspremnici omogućuju prijenos podataka kada šaljete više od segmenta s maksimmom veličine. Ako međuspremnik nije pun, zastavica PSH (PUSH) omogućuje ga slanje ionako ispunjavanjem zaglavlja ili upućivanjem TCP-a da pošalje pakete. Kroz ovu zastavicu aplikacija koja generira promet izvještava da se podaci moraju poslati odmah, odredište se obavještava podaci se moraju odmah poslati aplikaciji.
URG: Ova zastavica izvještava da su određeni segmenti hitni i moraju im se odrediti prioriteti. Kada je oznaka omogućena, primatelj će pročitati segment od 16 bita u zaglavlju, ovaj segment označava hitne podatke iz prvog bajta. Trenutno se ova zastava gotovo ne koristi.
PERAJE: RST paketi su objašnjeni u gore spomenutom vodiču (Nmap Stealth Scan), suprotno RST paketima, FIN paketi umjesto da ih informiraju o prekidu veze zahtijevaju od međusobno povezanog domaćina i čekaju dok ne dobiju potvrdu o prekidu veze.
Države luke
Otvoreno | filtrirano: Nmap ne može otkriti je li port otvoren ili filtriran, čak i ako je port otvoren, Xmas skeniranje će ga prijaviti kao otvorenog | filtriranog, to se događa kada ne dobijemo odgovor (čak i nakon ponovnog slanja).
Zatvoreno: Nmap otkrije da je port zatvoren, to se događa kada je odgovor TCP RST paket.
Filtrirano: Nmap otkriva vatrozid koji filtrira skenirane portove, to se događa kada je odgovor ICMP nedostižna pogreška (tip 3, kôd 1, 2, 3, 9, 10 ili 13). Na temelju RFC standarda Nmap ili Xmas scan sposoban je protumačiti stanje luke
Božićno skeniranje, baš kao što NULL i FIN skeniranje ne mogu razlikovati zatvoreni i filtrirani priključak, kao što je gore spomenuto, odgovor paketa je ICMP pogreška Nmap ga označava kao filtriran, ali kao što je objašnjeno u knjizi Nmap ako je sonda zabranjeno bez odgovora čini se otvorenim, stoga Nmap prikazuje otvorene portove i određene filtrirane portove kao otvorene | filtrirane
Koje obrane mogu otkriti Xmas skeniranje?: Vatrozidovi bez državljanstva u odnosu na vatrozaštite države:
Vatrozidi bez državljanstva ili bez državljanstva provode politike prema izvoru prometa, odredištu, lukama i sličnim pravilima zanemarujući TCP stog ili datagram protokola. Suprotno vatrozidima bez državljanstva, vatrozidima Stateful, on može analizirati pakete koji otkrivaju krivotvorene pakete, manipulaciju MTU-om (maksimalna jedinica prijenosa) i druge tehnike koje pruža Nmap i drugi softver za skeniranje kako bi zaobišli sigurnost vatrozida. Budući da je Xmas napad manipulacija paketima vatrozidi s državnim statusom vjerojatno će ga otkriti, dok vatrozidi bez državljanstva nisu, Sustav za otkrivanje upada također će otkriti ovaj napad ako je pravilno konfiguriran.
Predlošci vremena:
Paranoičan: -T0, izuzetno sporo, korisno zaobići IDS (sustavi za otkrivanje upada)
Tajni: -T1, vrlo spor, također koristan za zaobilaženje IDS-a (sustavi za otkrivanje upada)
Pristojan: -T2, neutralan.
Normalan: -T3, ovo je zadani način.
Agresivno: -T4, brzo skeniranje.
Lud: -T5, brži od tehnike agresivnog skeniranja.
Primjeri Nmap Xmas Scan
Sljedeći primjer prikazuje pristojno Xmas skeniranje protiv LinuxHinta.
nmap -sX -T2 linuxhint.com
Primjer agresivnog Xmas skeniranja protiv LinuxHinta.com
nmap -sX -T4 linuxhint.com
Primjenom zastave -sV za otkrivanje verzija možete dobiti više informacija o određenim priključcima i razlikovati filtrirane i filtrirane priključke, no dok se Xmas smatrao tehnikom skrivenog skeniranja, ovaj dodatak skeniranje može učiniti vidljivijim vatrozidima ili IDS-u.
nmap -sV -sX -T4 linux.lat
Iptables pravila za blokiranje Xmas skeniranja
Sljedeća pravila iptables mogu vas zaštititi od Božićnog skeniranja:
iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROPiptables -A ULAZ -p tcp --tcp-zastave SVE SVE -j PAD
iptables -A ULAZ -p tcp --tcp-zastave SVE NITI -j PAD
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
Zaključak
Iako Xmas skeniranje nije novo i većina je obrambenih sustava sposobna otkriti kako postaje zastarjela tehnika protiv dobro zaštićenih ciljeva, sjajan je način upoznavanja s neuobičajenim TCP segmentima poput PSH i URG i razumijevanja načina na koji Nmap analizira pakete dobiti zaključke o ciljevima. Ovo skeniranje korisno je više od metode napada za testiranje vatrozida ili sustava za otkrivanje upada. Gore navedena pravila iptables trebala bi biti dovoljna za zaustavljanje takvih napada s udaljenih domaćina. Ovo skeniranje vrlo je slično NULL i FIN skeniranjima i po načinu na koji djeluju i po niskoj učinkovitosti prema zaštićenim ciljevima.
Nadam se da vam je ovaj članak bio koristan kao uvod u Xmas skeniranje pomoću Nmapa. Nastavite pratiti LinuxHint za više savjeta i ažuriranja o Linuxu, umrežavanju i sigurnosti.
Povezani članci:
- Kako skenirati usluge i ranjivosti pomoću Nmapa
- Korištenje nmap skripti: Nmap banner grab
- skeniranje mreže nmap
- nmap ping pometanje
- nmap zastave i što rade
- Instalacija i vodič za OpenVAS Ubuntu
- Instaliranje Nexpose Skenera ranjivosti na Debian / Ubuntu
- Iptable za početnike
Glavni izvor: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html
