Nmap Xmas skaneerimist peeti varjatud skannimiseks, mis analüüsib vastuseid jõulupakettidele, et teha kindlaks vastava seadme olemus. Iga operatsioonisüsteem või võrguseade reageerib jõulupakettidele erineval viisil, näidates kohalikku teavet, näiteks OS (operatsioonisüsteem), pordi olek ja palju muud. Praegu suudavad paljud tulemüürid ja sissetungimise tuvastamise süsteem jõulupakette tuvastada ning see ei ole parim tehnika vargse skaneerimise läbiviimiseks, kuid selle toimimise mõistmine on äärmiselt kasulik.
Viimases artiklis Nmap Stealth Scan kohta selgitati, kuidas luuakse TCP- ja SYN -ühendused (tuleb lugeda, kui teile tundmatu), kuid pakette LÕPP , PA ja URG on jõulude jaoks eriti asjakohased, sest ilma pakettideta SYN, RST või ALAS tuletisinstrumendid ühenduse lähtestamisel (RST), kui port on suletud ja ei reageeri, kui port on avatud. Enne selliste pakettide puudumist piisab skaneerimiseks FIN, PSH ja URG kombinatsioonidest.
FIN, PSH ja URG paketid:
PSH: TCP puhvrid võimaldavad andmete edastamist, kui saadate rohkem kui maksimaalse suurusega segmenti. Kui puhver pole täis, lubab lipp PSH (PUSH) selle igal juhul saata, täites päise või juhendades TCP -d pakette saatma. Selle lipu kaudu teatab liiklust genereeriv rakendus, et andmed tuleb kohe saata, sihtkoha teavitatud andmed tuleb kohe rakendusele saata.
URG: See lipp teatab, et teatud segmendid on kiireloomulised ja need tuleb eelistada, kui lipp on lubatud, loeb vastuvõtja päises 16 -bitise segmendi, see segment näitab kiireid andmeid esimesest baidist. Praegu on see lipp peaaegu kasutamata.
LÕPP: RST pakette selgitati ülalmainitud õpetuses ( Nmap Stealth Scan ), vastupidiselt RST -pakettidele, küsivad FIN -paketid selle asemel, et teavitada ühenduse lõpetamisest, seda suhtlevalt hostilt ja ootavad, kuni saavad kinnituse ühenduse katkestamiseks.
Sadamariigid
Avatud | filtreeritud: Nmap ei suuda tuvastada, kas port on avatud või filtreeritud, isegi kui port on avatud, teatab jõulude skannimine selle avatuks | filtreerituna, see juhtub siis, kui vastust ei saada (isegi pärast uuesti saatmist).
Suletud: Nmap tuvastab, et port on suletud, see juhtub siis, kui vastuseks on TCP RST pakett.
Filtreeritud: Nmap tuvastab skannitud porte filtreeriva tulemüüri, see juhtub siis, kui vastuseks on ICMP -le kättesaamatu viga (tüüp 3, kood 1, 2, 3, 9, 10 või 13). Tuginedes RFC standarditele, on Nmap või Xmas scan võimeline pordi olekut tõlgendama
Jõuluskanner, nagu ka NULL ja FIN skaneerimine ei suuda suletud ja filtreeritud pordi vahel vahet teha, nagu eespool mainitud, on pakettreaktsioon ICMP viga Nmap märgib selle filtreerituks, kuid nagu on selgitatud Nmap raamatus, kui sond on vastuseta keelatud tundub, et see on avatud, seetõttu näitab Nmap avatud sadamaid ja teatud filtreeritud sadamaid avatud | filtreerituna
Millised kaitsemehhanismid tuvastavad jõulude skannimise?: Kodakondsuseta tulemüürid vs riiklikud tulemüürid:
Kodakondsuseta või mitte-riiklikud tulemüürid täidavad poliitikat vastavalt liikluse allikale, sihtkohale, sadamatele ja sarnastele reeglitele, ignoreerides TCP-virna või protokolli datagrammi. Vastupidiselt olekuta tulemüüridele, olekuga tulemüüridele, saab see analüüsida võltsitud pakette tuvastavaid pakette, MTU (maksimaalse edastusüksuse) manipuleerimist ja muid Nmapi ja muu skannimistarkvara pakutavaid meetodeid tulemüüri turvalisuse vältimiseks. Kuna jõulurünnak on pakettide manipuleerimine, tuvastavad tõenäoliselt olekuga tulemüürid, samas kui olekuta tulemüürid mitte, tuvastab sissetungimise tuvastamise süsteem selle rünnaku ka õigesti konfigureerituna.
Ajastusmallid:
Paranoidne: -T0, äärmiselt aeglane, kasulik IDS -i (sissetungimise tuvastussüsteemid) ümbersõitmiseks
Varjatud: -T1, väga aeglane, kasulik ka IDS -i (sissetungimise tuvastussüsteemid) ümbersõitmiseks
Viisakas: -T2, neutraalne.
Tavaline: -T3, see on vaikerežiim.
Agressiivne: -T4, kiire skannimine.
Hull: -T5, kiirem kui agressiivse skaneerimise tehnika.
Nmap Xmas Scan näited
Järgmine näide näitab viisakat jõulude skannimist LinuxHinti vastu.
nmap -X -T2linuxhint.com 
Agressiivse jõuluskanni näide LinuxHint.com vastu
nmap -X -T4linuxhint.com 
Lipu kandmisega -sV versioonide tuvastamiseks saate konkreetsete portide kohta lisateavet ning filtreeritud ja filtreeritud sadamate vahel vahet teha, kuid kuigi jõule peeti varjatud skannimismeetodiks, võib see täiendus muuta skannimise tulemüüridele või IDS -ile paremini nähtavaks.
nmap -sV -X -T4linux.lat 
Iptablesi reeglid jõulude skannimise blokeerimiseks
Järgmised iptablesi reeglid võivad teid kaitsta jõulude skannimise eest:
iptables-TOSISEND-lktcp--tcp-lipudFIN, URG, PSH FIN, URG, PSH-jDROPiptables-TOSISEND-lktcp--tcp-lipudKÕIK KÕIK-jDROP
iptables-TOSISEND-lktcp--tcp-lipudKÕIK MITTE-jDROP
iptables-TOSISEND-lktcp--tcp-lipudSYN, RST SYN, RST-jDROP
Järeldus
Kuigi jõulude skaneerimine pole uus ja enamik kaitsesüsteeme suudab tuvastada, et see muutub vananenud tehnikaks hästi kaitstud sihtmärkide vastu, on see suurepärane võimalus tutvustada haruldasi TCP -segmente, nagu PSH ja URG, ning mõista, kuidas Nmap pakette analüüsib teha järeldusi eesmärkide kohta. See skannimine on rohkem kui rünnakumeetod kasulik tulemüüri või sissetungimise tuvastamise süsteemi testimiseks. Eespool nimetatud iptable'i reeglitest peaks piisama, et peatada sellised rünnakud kaughostidest. See skaneerimine on väga sarnane NULL- ja FIN -skaneeringutega nii toimimisviisi kui ka madala efektiivsusega kaitstud sihtmärkide suhtes.
Loodan, et see artikkel oli teile kasulik sissejuhatuseks jõulude skannimisele Nmapi abil. Järgige Linuxi vihjet, et saada rohkem nõuandeid ja värskendusi Linuxi, võrgustike ja turvalisuse kohta.
Seotud artiklid:
- Kuidas Nmapi abil teenuseid ja haavatavusi otsida
- Nmap -skriptide kasutamine: haarake Nmap -bänner
- nmap võrgu skannimine
- nmap ping sweep
- nmap lipud ja mida nad teevad
- OpenVAS Ubuntu installimine ja õpetus
- Nexpose'i haavatavuse skanneri installimine Debianile/Ubuntule
- Iptables algajatele
Peamine allikas: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html