Nmap Xmas Scan

Nmap Xmas scan buvo laikomas slaptu nuskaitymu, kuris analizuoja atsakymus į Kalėdų paketus, kad nustatytų atsakančio įrenginio pobūdį. Kiekviena operacinė sistema ar tinklo įrenginys skirtingai reaguoja į Kalėdų paketus, atskleidžiančius vietinę informaciją, pvz., OS (operacinę sistemą), prievado būseną ir dar daugiau. Šiuo metu daugelis užkardų ir įsilaužimo aptikimo sistema gali aptikti Kalėdų paketus ir tai nėra pati geriausia technika slaptam nuskaitymui atlikti, tačiau labai naudinga suprasti, kaip tai veikia.

Paskutiniame straipsnyje apie „Nmap Stealth Scan“ buvo paaiškinta, kaip užmezgami TCP ir SYN ryšiai (būtina perskaityti, jei jums tai nežinoma), tačiau paketai GALAS , PA ir URG yra ypač aktualus Kalėdoms, nes paketai be SYN, RST arba ALAS išvestinės priemonės iš naujo nustatant ryšį (RST), jei prievadas uždarytas, o atsakymo nėra, jei prievadas atidarytas. Kol tokių paketų nėra, nuskaitymui pakanka FIN, PSH ir URG derinių.

FIN, PSH ir URG paketai:

PSH: TCP buferiai leidžia perduoti duomenis, kai siunčiate daugiau nei maksimalaus dydžio segmentą. Jei buferis nėra pilnas, vėliavos PSH (PUSH) leidžia jį išsiųsti, užpildant antraštę arba nurodant TCP siųsti paketus. Naudodama šią žymę srautą generuojanti programa praneša, kad duomenys turi būti išsiųsti nedelsiant, o paskirties vieta - duomenys turi būti nedelsiant siunčiami į programą.

URG: Ši vėliava informuoja, kad tam tikri segmentai yra skubūs ir jiems turi būti teikiama pirmenybė, kai vėliava įjungta, imtuvas perskaitys 16 bitų segmentą antraštėje, šis segmentas nurodo skubius duomenis iš pirmojo baito. Šiuo metu ši vėliava beveik nenaudojama.

GALAS: RST paketai buvo paaiškinti aukščiau pamokoje ( Nmap slaptas nuskaitymas ), priešingai nei RST paketai, FIN paketai, užuot informavę apie ryšio nutraukimą, prašo to iš sąveikaujančio kompiuterio ir laukia, kol gaus patvirtinimą nutraukti ryšį.

Uosto valstijos

Atidaryti | filtruoti: „Nmap“ negali aptikti, ar prievadas yra atidarytas, ar filtruotas, net jei prievadas atidarytas, „Kalėdų“ nuskaitymas praneš apie jį kaip atidarytą | filtruotą, tai atsitinka, kai atsakymas negaunamas (net ir po pakartotinio perdavimo).

Uždaryta: Nmap nustato, kad prievadas uždarytas, tai atsitinka, kai atsakymas yra TCP RST paketas.

Filtruota: „Nmap“ aptinka užkardą, filtruojančią nuskaitytus prievadus, tai atsitinka, kai atsakymas yra nepasiekiama ICMP klaida (3 tipas, kodas 1, 2, 3, 9, 10 arba 13). Remiantis RFC standartais, „Nmap“ arba „Xmas scan“ gali interpretuoti prievado būseną

Kalėdų nuskaitymas, kaip ir NULL ir FIN nuskaitymas negali atskirti uždaro ir filtruoto prievado, kaip minėta aukščiau, yra paketo atsakas yra ICMP klaida, „Nmap“ pažymi jį kaip filtruotą, bet kaip paaiškinta „Nmap“ knygoje, uždraustas be atsako, atrodo atidarytas, todėl „Nmap“ rodo atvirus uostus ir tam tikrus filtruotus uostus kaip atidarytus | filtruotus

Kokios gynybos priemonės gali aptikti Kalėdų skenavimą?: Ugniasienės be būsenos ir valstybinės ugniasienės:

Bevalstybinės ar nevalstybinės ugniasienės vykdo politiką pagal srauto šaltinį, paskirties vietą, uostus ir panašias taisykles, nepaisydamos TCP kamino ar protokolo datagramos. Priešingai nei ugniasienės be būsenos, valstybinės ugniasienės, ji gali analizuoti paketus, aptinkančius suklastotus paketus, manipuliavimą MTU (maksimaliu perdavimo vienetu) ir kitus metodus, kuriuos teikia „Nmap“ ir kita nuskaitymo programinė įranga, kad apeitų užkardos saugumą. Kadangi Kalėdų ataka yra manipuliavimas paketais, tikėtina, kad būsenos užkardos ją aptiks, o ugniasienės be būsenos - ne, įsilaužimo aptikimo sistema taip pat aptiks šią ataką, jei ji tinkamai sukonfigūruota.

Laiko šablonai:

Paranoidinis: -T0, labai lėtas, naudingas apeiti IDS (įsilaužimo aptikimo sistemas)
Slaptas: -T1, labai lėtas, taip pat naudinga apeiti IDS (įsilaužimo aptikimo sistemas)
Mandagus: -T2, neutralus.
Normalus: -T3, tai numatytasis režimas.
Agresyvus: -T4, greitas nuskaitymas.
Išprotėjęs: -T5, greitesnis nei agresyvaus nuskaitymo technika.

„Nmap Xmas Scan“ pavyzdžiai

Šis pavyzdys rodo mandagų Kalėdų nuskaitymą prieš „LinuxHint“.

Agresyvaus Kalėdų nuskaitymo pavyzdys prieš LinuxHint.com

Taikant vėliavą -V Norėdami aptikti versiją, galite gauti daugiau informacijos apie konkrečius prievadus ir atskirti filtruotus ir filtruotus prievadus, tačiau nors Kalėdos buvo laikomos slapta nuskaitymo technika, šis papildymas gali padaryti nuskaitymą labiau matomą ugniasienėms ar IDS.

„Iptables“ taisyklės blokuoja Kalėdų nuskaitymą

Šios „iptables“ taisyklės gali apsaugoti jus nuo Kalėdų nuskaitymo:

Išvada

Nors Kalėdų nuskaitymas nėra naujas ir dauguma gynybos sistemų gali aptikti, kad jis tampa pasenusia technika prieš gerai apsaugotus taikinius, tai puikus būdas susipažinti su neįprastais TCP segmentais, tokiais kaip PSH ir URG, ir suprasti, kaip „Nmap“ analizuoja paketus padaryti išvadas dėl tikslų. Šis nuskaitymas yra daugiau nei atakos metodas, norint išbandyti ugniasienę ar įsilaužimo aptikimo sistemą. Aukščiau paminėtų „iptables“ taisyklių turėtų pakakti, kad būtų sustabdytos tokios atakos iš nuotolinių kompiuterių. Šis nuskaitymas yra labai panašus į NULL ir FIN nuskaitymus tiek savo veikimo būdu, tiek mažu efektyvumu prieš saugomus taikinius.

Tikiuosi, kad šis straipsnis jums buvo naudingas kaip įvadas į Kalėdų nuskaitymą naudojant „Nmap“. Toliau sekite „LinuxHint“, kad gautumėte daugiau patarimų ir atnaujinimų apie „Linux“, tinklus ir saugumą.

Susiję straipsniai:

• Kaip ieškoti paslaugų ir pažeidžiamumų naudojant „Nmap“
• Naudojant „nmap“ scenarijus: patraukite „Nmap“ reklamjuostę
• nmap tinklo nuskaitymas
• nmap ping sweep
• nmap vėliavos ir ką jie daro
• „OpenVAS Ubuntu“ diegimas ir pamoka
• „Nexpose“ pažeidžiamumo skaitytuvo diegimas „Debian“/„Ubuntu“
• Iptables pradedantiesiems

Pagrindinis šaltinis: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html