Scanare Nmap Xmas

Nmap Xmas Scan



Scanarea Nmap Xmas a fost considerată o scanare furtună care analizează răspunsurile la pachetele Xmas pentru a determina natura dispozitivului care răspunde. Fiecare sistem de operare sau dispozitiv de rețea răspunde într-un mod diferit la pachetele de Crăciun, dezvăluind informații locale, cum ar fi sistemul de operare (sistemul de operare), starea portului și multe altele. În prezent, multe firewall-uri și sistem de detectare a intruziunilor pot detecta pachete de Crăciun și nu este cea mai bună tehnică pentru a efectua o scanare stealth, totuși este extrem de util să înțelegem cum funcționează.

În ultimul articol despre Nmap Stealth Scan a fost explicat modul în care sunt stabilite conexiunile TCP și SYN (trebuie să citiți dacă nu vă este cunoscut), dar pachetele SFÂRȘIT , PA și URG sunt relevante în special pentru Crăciun, deoarece pachetele fără SYN, RST sau VAI derivate într-o resetare a conexiunii (RST) dacă portul este închis și fără răspuns dacă portul este deschis. Înainte de absența unor astfel de pachete, combinații de FIN, PSH și URG sunt suficiente pentru a efectua scanarea.





Pachete FIN, PSH și URG:

PSH: Bufferele TCP permit transferul de date atunci când trimiteți mai mult de un segment cu dimensiunea maximă. Dacă tamponul nu este plin, semnalizatorul PSH (PUSH) permite să îl trimită oricum completând antetul sau instruind TCP să trimită pachete. Prin acest semnal, aplicația generatoare de trafic informează că datele trebuie trimise imediat, destinația este informată, datele trebuie trimise imediat aplicației.



URG: Acest semnalizator informează că anumite segmente sunt urgente și trebuie prioritizate, atunci când semnalizatorul este activat, receptorul va citi un segment de 16 biți în antet, acest segment indică datele urgente de la primul octet. În prezent, acest steag este aproape neutilizat.



SFÂRȘIT: Pachetele RST au fost explicate în tutorialul menționat mai sus ( Nmap Stealth Scan ), spre deosebire de pachetele RST, pachetele FIN, mai degrabă decât informarea cu privire la terminarea conexiunii, o solicită de la gazda care interacționează și așteaptă până când primește o confirmare pentru a termina conexiunea.



Statele portuare

Deschis | filtrat: Nmap nu poate detecta dacă portul este deschis sau filtrat, chiar dacă portul este deschis, scanarea Xmas îl va raporta ca deschis | filtrat, se întâmplă atunci când nu se primește niciun răspuns (chiar și după retransmisii).

Închis: Nmap detectează că portul este închis, se întâmplă când răspunsul este un pachet TCP RST.



Filtrat: Nmap detectează un paravan de protecție care filtrează porturile scanate, se întâmplă atunci când răspunsul este eroare ICMP inaccesibilă (tip 3, cod 1, 2, 3, 9, 10 sau 13). Pe baza standardelor RFC, Nmap sau scanarea Xmas sunt capabile să interpreteze starea portului

Scanarea Xmas, la fel cum scanarea NULL și FIN nu poate distinge între un port închis și filtrat, așa cum s-a menționat mai sus, este răspunsul pachetului este o eroare ICMP Nmap îl etichetează ca filtrat, dar așa cum se explică în cartea Nmap dacă sonda este interzis fără răspuns pare deschis, de aceea Nmap arată porturile deschise și anumite porturi filtrate ca deschise | filtrate

Ce mijloace de apărare pot detecta o scanare de Crăciun ?: Firewall-uri fără stat față de firewall-uri stateful

Firewall-urile fără stat sau non-stateful efectuează politici în funcție de sursa de trafic, destinație, porturi și reguli similare, ignorând stiva TCP sau datagrama Protocol. Contrar firewall-urilor stateless, firewall-urilor stateful, poate analiza pachetele care detectează pachete forjate, manipularea MTU (Maximum transmission Unit) și alte tehnici furnizate de Nmap și alte programe de scanare pentru a ocoli securitatea firewall-ului. Deoarece atacul de Crăciun este o manipulare a pachetelor firewall-urile de stare sunt susceptibile să îl detecteze în timp ce firewall-urile fără stare nu sunt, sistemul de detectare a intruziunilor va detecta și acest atac dacă este configurat corect.

Șabloane de sincronizare:

Paranoid: -T0, extrem de lent, util pentru a ocoli IDS (Intrusion Detection Systems)
Sneaky: -T1, foarte lent, util și pentru a ocoli IDS (sisteme de detectare a intruziunilor)
Politicos: -T2, neutru.
Normal: -T3, acesta este modul implicit.
Agresiv: -T4, scanare rapidă.
Nebun: -T5, mai rapid decât tehnica de scanare agresivă.

Exemple de scanare Nmap Xmas

Următorul exemplu arată o scanare politicoasă de Crăciun împotriva LinuxHint.

nmap -s x -T2linuxhint.com

Exemplu de scanare agresivă de Crăciun împotriva LinuxHint.com

nmap -s x -T4linuxhint.com

Prin aplicarea steagului -sV pentru detectarea versiunilor puteți obține mai multe informații despre porturi specifice și distinge între porturile filtrate și cele filtrate, dar în timp ce Xmas a fost considerat o tehnică de scanare stealth, această adăugare poate face scanarea mai vizibilă pentru firewall-uri sau IDS.

nmap -sV -s x -T4linux.lat

Reguli Iptables pentru a bloca scanarea Xmas

Următoarele reguli iptables vă pot proteja de o scanare de Crăciun:

iptables-LAINTRARE-ptcp--tcp-steaguriFIN, URG, PSH FIN, URG, PSH-jCĂDERE BRUSCA
iptables-LAINTRARE-ptcp--tcp-steaguriTOATE TOATE-jCĂDERE BRUSCA
iptables-LAINTRARE-ptcp--tcp-steaguriTOTUL NIMIC-jCĂDERE BRUSCA
iptables-LAINTRARE-ptcp--tcp-steaguriSYN, RST SYN, RST-jCĂDERE BRUSCA

Concluzie

În timp ce scanarea Xmas nu este nouă și majoritatea sistemelor de apărare sunt capabile să o detecteze devenind o tehnică învechită împotriva țintelor bine protejate, este o modalitate excelentă de introducere a segmentelor TCP mai puțin frecvente precum PSH și URG și de a înțelege modul în care Nmap analizează pachetele obțineți concluzii cu privire la ținte. Mai mult decât o metodă de atac, această scanare este utilă pentru a testa paravanul de protecție sau sistemul de detectare a intruziunilor. Regulile iptables menționate mai sus ar trebui să fie suficiente pentru a opri astfel de atacuri de la gazde la distanță. Această scanare este foarte asemănătoare cu scanările NULL și FIN atât în ​​modul în care funcționează, cât și cu eficiență scăzută împotriva țintelor protejate.

Sper că ați găsit acest articol util ca introducere la scanarea Xmas folosind Nmap. Continuați să urmăriți LinuxHint pentru mai multe sfaturi și actualizări cu Linux, rețea și securitate.

Articole similare:

  • Cum se scanează serviciile și vulnerabilitățile cu Nmap
  • Utilizarea scripturilor nmap: captură de banner Nmap
  • scanarea rețelei nmap
  • nmap ping sweep
  • nmap steaguri și ce fac
  • Instalare și tutorial OpenVAS Ubuntu
  • Instalarea Nexpose Vulnerability Scanner pe Debian / Ubuntu
  • Iptables pentru începători

Sursa principala: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Categorie

Posturi Populare

Cum se instalează VMware Workstation 17 Pro pe Debian 12

Numărul este în C++

Ce sunt șirurile de caractere în programarea C?

Funcție echivalentă Python Isalpha pentru a verifica caracterele

Funcții C++ istream

Cum se deschid fișiere .URL (comenzi rapide pe Internet) folosind diferite browsere din meniul cu clic dreapta - Winhelponline

Eliminați zerourile principale din SQL

Cum să adăugați Xbox Live la Discord

Cum configurez Amazon SES pentru a trimite e-mailuri?

[Rezolvat] Windows Module Installer Worker Windows 10 High CPU

Programare socket în C++

BETWEEN Operator în Oracle

Redis ZSCAN

Modificați permisiunile pentru setările site-ului în Android

Cum se instalează și se utilizează dig și nslookup pe Ubuntu pentru depanarea rețelei

Top 5 medii desktop pentru Raspberry Pi

Cum se instalează Ansible pe Ubuntu 24.04

Cum să extrageți gratuit fișierele RAR pe Windows și Mac?

Cum să configurați căile șabloanelor în CSS Tailwind

Câte date folosește un laptop pe un hotspot?