Увод у Ксмас Сцан

Нмап Ксмас скенирање сматрало се потајним скенирањем које анализира одговоре на Ксмас пакете како би се утврдила природа уређаја који одговара. Сваки оперативни систем или мрежни уређај на различит начин реагује на Ксмас пакете откривајући локалне информације као што су ОС (оперативни систем), стање порта и још много тога. Тренутно многи заштитни зидови и систем за откривање упада могу да открију Ксмас пакете и није најбоља техника за скривено скенирање, али изузетно је корисно разумети како то функционише.

У последњем чланку о Нмап Стеалтх Сцан-у објашњено је како се успостављају ТЦП и СИН везе (морају бити прочитане ако су вам непознате), али пакети ФИН, ПСХ и УРГ су посебно релевантни за Божић јер пакети без СИН, РСТ или АЦК деривати у ресетовању везе (РСТ) ако је порт затворен и нема одговора ако је порт отворен. Пре одсуства таквих пакета комбинације ФИН, ПСХ и УРГ су довољне за скенирање.

ФИН, ПСХ и УРГ пакети:

ПСХ: ТЦП међуспремници омогућавају пренос података када шаљете више од сегмента са максималном величином. Ако ме успремник није пун, заставица ПСХ (ПУСХ) дозвољава да га ипак пошаље тако што ће попунити заглавље или упутити ТЦП да пошаље пакете. Кроз ову заставицу апликација која генерише саобраћај обавештава да се подаци морају послати одмах, одредиште се обавештава подаци се морају одмах послати апликацији.

УРГ: Ова заставица обавештава да су одређени сегменти хитни и мора им се дати приоритет. Када је заставица омогућена, прималац ће прочитати сегмент од 16 бита у заглављу, овај сегмент означава хитне податке из првог бајта. Тренутно се ова застава готово не користи.

ФИН: РСТ пакети су објашњени у горе поменутом упутству (Нмап Стеалтх Сцан), за разлику од РСТ пакета, ФИН пакети уместо да их информишу о прекиду везе захтевају од интерактивног хоста и чекају док не добију потврду о прекиду везе.

Државе луке

Отворено | филтрирано: Нмап не може да открије да ли је порт отворен или филтриран, чак и ако је порт отворен, Ксмас скенирање ће га пријавити као отвореног | филтрираног, то се дешава када не добијемо одговор (чак и након поновних преноса).

Затворено: Нмап открива да је порт затворен, то се дешава када је одговор ТЦП РСТ пакет.

Филтрирано: Нмап открива заштитни зид који филтрира скениране портове, то се дешава када је одговор ИЦМП недостижна грешка (тип 3, код 1, 2, 3, 9, 10 или 13). На основу РФЦ стандарда Нмап или Ксмас скенирање може да интерпретира стање порта

Божићно скенирање, баш као што НУЛЛ и ФИН скенирање не могу разликовати затворени и филтрирани порт, као што је горе поменуто, одговор пакета је ИЦМП грешка, Нмап га означава као филтриран, али као што је објашњено у књизи Нмап ако је сонда забрањено без одговора чини се отвореним, стога Нмап приказује отворене портове и одређене филтриране портове као отворене | филтриране

Које одбране могу открити Ксмас скенирање?: Државни заштитни зидови вс Државни заштитни зидови:

Заштитни зидови без држављанства или без држављанства спроводе политике према извору саобраћаја, одредишту, лукама и сличним правилима занемарујући ТЦП стек или протокол датаграм. Супротно заштитним зидовима без држављанства, заштитним зидовима Статефул, он може да анализира пакете који откривају фалсификоване пакете, манипулацију МТУ-ом (максимална преносна јединица) и друге технике које пружа Нмап и други софтвер за скенирање како би заобишли сигурност заштитног зида. Будући да је Ксмас напад манипулација пакетима заштитни зидови са статусом вероватно ће га открити, док заштитни зидови без држављанства нису, Систем за откривање упада такође ће открити овај напад ако је правилно конфигурисан.

Предлошци времена:

Параноид: -Т0, изузетно спор, користан за заобилажење ИДС-а (Системи за откривање упада)
Лукав, препреден: -Т1, врло спор, такође користан за заобилажење ИДС-а (системи за откривање упада)
Учтив: -Т2, неутралан.
Нормално: -Т3, ово је подразумевани режим.
Агресивно: -Т4, брзо скенирање.
Инсане: -Т5, бржи од технике агресивног скенирања.

Примери Нмап Ксмас Сцан

Следећи пример приказује љубазно Ксмас скенирање против ЛинукХинта.

нмап -сКс -Т2 линукхинт.цом

Пример агресивног Ксмас скенирања против ЛинукХинта.цом

нмап -сКс -Т4 линукхинт.цом

Применом заставе -сВ за откривање верзија можете добити више информација о одређеним портовима и разликовати филтриране и филтриране портове, али иако се Ксмас сматрао техником стелт скенирања, овај додатак може учинити скенирање видљивијим заштитним зидовима или ИДС-у.

нмап -сВ -сКс -Т4 линук.лат

Иптаблес правила за блокирање Ксмас скенирања

Следећа правила иптаблес могу вас заштитити од Ксмас скенирања:

иптаблес -А ИНПУТ -п тцп --тцп-флагс ФИН, УРГ, ПСХ ФИН, УРГ, ПСХ -ј ДРОП
иптаблес -А ИНПУТ -п тцп --тцп-флагс СВЕ СВЕ -ј ДРОП
иптаблес -А ИНПУТ -п тцп --тцп-флагс СВЕ НИКО -ј ДРОП
иптаблес -А ИНПУТ -п тцп --тцп-флагс СИН, РСТ СИН, РСТ -ј ДРОП

Закључак

Иако Ксмас скенирање није ново и већина одбрамбених система је способна да открије да постаје застарела техника против добро заштићених циљева, то је одличан начин да се упознају необични ТЦП сегменти попут ПСХ и УРГ и да се разуме начин на који Нмап анализира пакете добити закључке о циљевима. Више од методе напада, ово скенирање је корисно за тестирање заштитног зида или система за откривање упада. Горе наведена правила иптаблес требала би бити довољна за заустављање таквих напада са удаљених хостова. Ово скенирање је врло слично НУЛЛ и ФИН скенирањима и по начину на који раде и ниској ефикасности према заштићеним циљевима.

Надам се да вам је овај чланак био користан као увод у Ксмас скенирање помоћу Нмап-а. Наставите да пратите ЛинукХинт за више савета и исправки о Линуку, умрежавању и безбедности.

Повезани чланци:

• Како скенирати услуге и рањивости помоћу Нмап-а
• Коришћење нмап скрипти: Нмап банер граб
• скенирање мреже нмап
• нмап пинг пометање
• нмап заставе и шта раде
• ОпенВАС Убунту инсталација и водич
• Инсталирање Некпосе Скенера рањивости на Дебиан / Убунту
• Иптабле за почетнике

Главни извор: хттпс: // нмап.орг / боок / сцан-метходс-нулл-фин-кмас-сцан.хтмл