Phenquestions
Úvod do Xmas Scan
Nmap Xmas scan byl považován za nenápadný sken, který analyzuje reakce na vánoční pakety a určuje povahu odpovídajícího zařízení. Každý operační systém nebo síťové zařízení reaguje jiným způsobem na vánoční pakety, které odhalují místní informace, jako je OS (operační systém), stav portu a další. V současné době může mnoho bran firewall a systém detekce narušení detekovat vánoční pakety a není to nejlepší technika k provedení tajného skenování, přesto je nesmírně užitečné pochopit, jak to funguje.
V posledním článku o Nmapu Stealth Scan bylo vysvětleno, jak jsou navázána připojení TCP a SYN (musí se číst, pokud vám nejsou známa), ale pakety PLOUTEV, PSH a URG jsou obzvláště relevantní pro Vánoce, protože pakety bez SYN, RST nebo ACK deriváty v resetování připojení (RST), pokud je port uzavřen, a žádná odpověď, pokud je port otevřený. Před absencí takových paketů stačí k provedení skenování kombinace FIN, PSH a URG.
Pakety FIN, PSH a URG:
PSH: Vyrovnávací paměti TCP umožňují přenos dat, když posíláte více než segment s maximální velikostí. Pokud vyrovnávací paměť není plná, příznak PSH (PUSH) umožňuje odeslat ji vyplněním záhlaví nebo instrukcí TCP k odeslání paketů. Prostřednictvím tohoto příznaku aplikace generující provoz informuje, že data musí být odeslána okamžitě, cíl je informován, data musí být okamžitě odeslána do aplikace.
URG: Tento příznak informuje, že určité segmenty jsou naléhavé a musí být upřednostněny, když je příznak povolen, přijímač načte 16bitový segment v záhlaví, tento segment označuje urgentní data z prvního bajtu. V současné době je tento příznak téměř nepoužívaný.
PLOUTEV: Pakety RST byly vysvětleny v tutoriálu uvedeném výše (Nmap Stealth Scan), na rozdíl od RST paketů, FIN pakety místo toho, aby informovaly o ukončení připojení, to požaduje od interagujícího hostitele a čeká, dokud nedostane potvrzení o ukončení připojení.
Státy přístavu
Otevřít | filtrováno: Nmap nedokáže detekovat, zda je port otevřený nebo filtrovaný, i když je port otevřený, Xmas sken to ohlásí jako otevřený | filtrováno, stane se to, když není přijata žádná odpověď (i po opakovaných přenosech).
Zavřeno: Nmap detekuje, že je port uzavřen, stane se to, když je odpovědí paket TCP RST.
Filtrovaný: Nmap detekuje firewall filtrující skenované porty, stane se, když je odezva ICMP nedosažitelná chyba (typ 3, kód 1, 2, 3, 9, 10 nebo 13). Na základě standardů RFC je Nmap nebo Xmas scan schopen interpretovat stav portu
Xmas scan, stejně jako NULL a FIN scan nedokáže rozlišit mezi uzavřeným a filtrovaným portem, jak je uvedeno výše, je paketovou odpovědí je chyba ICMP Nmap jej označuje jako filtrovaný, ale jak je vysvětleno v knize Nmap, pokud je sonda zakázán bez odpovědi se zdá být otevřený, proto Nmap zobrazuje otevřené porty a některé filtrované porty jako otevřené | filtrované
Jaká obrana dokáže detekovat vánoční sken?: Brány firewall bez státní příslušnosti vs brány Stateful firewall:
Bezstavové nebo nestabilní brány firewall provádějí zásady podle zdroje provozu, cíle, portů a podobných pravidel ignorujících zásobník TCP nebo datagram protokolu. Oproti firewallům bez státní příslušnosti, stavovým firewallům, může analyzovat pakety detekující padělané pakety, manipulaci s MTU (maximální přenosovou jednotkou) a další techniky poskytované Nmapem a dalším skenovacím softwarem pro obejití zabezpečení firewall. Vzhledem k tomu, že vánoční útok je manipulací s pakety, je pravděpodobné, že jej detekují stavové brány firewall, zatímco firewally bez státní příslušnosti nikoli, systém detekce narušení tento útok také detekuje, pokud je správně nakonfigurován.
Časové šablony:
Paranoidní: -T0, extrémně pomalý, užitečný k obejití IDS (systémy detekce narušení)
Záludný: -T1, velmi pomalý, užitečný také k obejití IDS (systémy detekce narušení)
Zdvořilý: -T2, neutrální.
Normální: -T3, toto je výchozí režim.
Agresivní: -T4, rychlé skenování.
Šílený: -T5, rychlejší než technika agresivního skenování.
Příklady Nmap Xmas Scan
Následující příklad ukazuje zdvořilé Xmas skenování proti LinuxHint.
nmap -sX -T2 linuxhint.com
Příklad agresivního vánočního skenování proti LinuxHint.com
nmap -sX -T4 linuxhint.com
Použitím vlajky -sv pro detekci verzí můžete získat více informací o konkrétních portech a rozlišovat mezi filtrovanými a filtrovanými porty, ale zatímco Vánoce byly považovány za techniku tajného skenování, toto přidání může zvýšit viditelnost skenování pro brány firewall nebo IDS.
nmap -sV -sX -T4 linux.lat
Pravidla Iptables k blokování vánočního skenování
Následující pravidla iptables vás mohou chránit před Xmas skenováním:
iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROPiptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags VŠECHNY ŽÁDNÉ -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
Závěr
Zatímco Xmas scan není nový a většina obranných systémů je schopna detekovat, že se stává zastaralou technikou proti dobře chráněným cílům, je skvělým způsobem, jak představit neobvyklé segmenty TCP, jako jsou PSH a URG, a porozumět způsobu, jakým Nmap analyzuje pakety získat závěry o cílech. Toto skenování je více než metoda útoku a je užitečné k otestování brány firewall nebo systému detekce narušení. Výše uvedená pravidla iptables by měla stačit k zastavení takových útoků ze vzdálených hostitelů. Tato kontrola je velmi podobná kontrole NULL a FIN jak způsobem, jakým fungují, tak nízkou účinností proti chráněným cílům.
Doufám, že vám tento článek připadal jako úvod do Xmas skenování pomocí Nmapu. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace týkající se Linuxu, sítí a zabezpečení.
Související články:
- Jak vyhledávat služby a chyby zabezpečení pomocí Nmapu
- Použití skriptů nmap: Uchopení banneru Nmap
- síťové skenování nmap
- nmap ping zamést
- příznaky nmap a co dělají
- OpenVAS Ubuntu Installation and Tutorial
- Instalace skeneru zranitelnosti Nexpose na Debian / Ubuntu
- Iptables pro začátečníky
Hlavní zdroj: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html
