Skan NMAP Xmas

Skan NMAP Xmas

W tym samouczku wyjaśnia, jak wykonać technikę skanowania SCMAS SCEALTION za pomocą NMAP.

Nmap Boże Narodzenie Skan był uważany za skanowany skan, który analizuje odpowiedzi Boże Narodzenie pakiety w celu ustalenia charakteru urządzenia odpowiadającego.

Każdy system operacyjny lub urządzenie sieciowe odpowiada w inny sposób Boże Narodzenie pakiety ujawniające informacje lokalne, takie jak system operacyjny (system operacyjny), stan portu i więcej.

Obecnie wiele zapór i systemów wykrywania włamań może wykryć Boże Narodzenie pakiety i nie jest to najlepsza technika wykonanie skanu ukrycia. Jednak niezwykle przydatne jest zrozumienie, jak to działa.

Po przeczytaniu tego samouczka użytkownik zrozumie, jak Boże Narodzenie, ZERO, I PŁETWA Skany działają. Wszystkie instrukcje poniżej zawierają zrzuty ekranu, co ułatwia czytelnikom zrozumienie, w jaki sposób wykonywane są polecenia NMAP.

O skanie Bożego Narodzenia

Większość zapór ogniowych to tak zwane stanowe zapory ogniowe. Mają możliwość analizy pakietów w locie, w przeciwieństwie do bezstanowy Firewall, która porównuje tylko zdefiniowane reguły pasujące.

Zwykle bezpaństwowe blokowanie zapór ogniowych Syn bity lub nagłówki z pakietów TCP po wysłaniu bez Ack bity. Skan świąteczny polega na wyczyszczeniu Syn nagłówek z pakietu TCP i zastąpienie go PŁETWA, Psh, I Urg bity (lub nagłówki), omijając zaporę ogniową.

Innymi słowy, nagłówki pakietów TCP pasujące do reguł zapory są zastępowane nagłówki, które nie pasują do zasad.

Skanowanie XMAS to stara technika skanowania Stealth, ale obecnie nie jest wiarygodna, wykryta przez większość zapór ogniowych i środków antyintruzyjnych. Jednak poznanie struktury TCP jest powtarzalne i wysoce edukacyjne.

W poprzednich artykułach, takich jak nasz samouczek Basics NMAP, opisano NMAP sześć możliwych stanów portowych.

Kiedy odnosimy się do Boże Narodzenie Scan, istnieją tylko trzy możliwe stany portu:

  • Otwórz | filtrowane: NMAP nie może wykryć, czy port jest otwarty lub filtrowany. Nawet jeśli port jest otwarty, skan Xmas zgłosi go jako otwarty | filtrowany. Dzieje się tak, gdy nie otrzymano odpowiedzi (nawet po retransmisjach).
  • Zamknięte: NMAP wykrywa, że ​​port jest zamknięty; Dzieje się tak, gdy odpowiedź jest pakietem TCP RST.
  • Przefiltrowany: NMAP wykrywa zaporę filtrującą skanowane porty; Dzieje się tak, gdy odpowiedź jest nieosiągalnym błędem ICMP (typ 3, kod 1, 2, 3, 9, 10 lub 13). W oparciu o normy RFC NMAP lub skanowanie XMAS jest w stanie zinterpretować stan portu.

Jak można zrozumieć z poprzedniej listy, skanowanie Xmas, tak jak ZERO I PŁETWA skanowanie, nie można rozróżniać portów otwartych i filtrowanych.

Jeśli cel nie odrzuci połączenia i po prostu upuszcza pakiet bez odpowiedzi, bez odpowiedzi odrzucenia, Boże Narodzenie Skan nie może być pewien, czy port jest otwarty lub filtrowany.

Gdy nie ma widocznej odpowiedzi ze strony zapory, porty można zdefiniować jako Otwórz | filtrowane.

Użytkownik może zaimplementować inwazyjne flagi, aby rozróżnić otwarte i filtrowane porty, ale nie ma sensu łączyć ich z skanowaniem ukrycia, takim jak Xmas.

Notatka: Dziś w praktyce wszystkie cele prawdopodobnie zostaną wykryte jako zamknięte lub filtrowane za pomocą przestarzałej techniki Xmas.

Wykonanie skanu Xmas za pomocą NMAP

Składnia do wykonania skanowania XMAS z NMAP jest następująco, gdzie -sx Flaga instruuje NMAP, aby uruchomić skanowanie Xmas, -T kontroluje szablon czasowy (wyjaśniony poniżej) i -v Instruuje gadatość.

sudo nmap -sx -t -v

Poniższy praktyczny przykład pokazuje skanowanie Xmas przeciwko routerowi 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -V

Szablony czasowe (-T) definiują poziom agresywności, od najwolniejszych do najszybszych typów skanowania.

Szablony czasowe

SZABLON FLAGA FUNKCJE
Paranoidalny -T0 Wyjątkowo powolne, przydatne do omijania identyfikatorów
Podstępny -T1 Powolne, przydatne również do ominięcia IDS (systemy wykrywania włamań)
Grzeczny -T2 Neutralny
Normalna -T3 Tryb domyślny
Agresywny -T4 Szybkie skanowanie
Obłąkany -T5 Szybciej

Skanowanie zerowe i płetwy z NMAP

Typy skanowania NULL i FIN stosują tę samą technikę, a także są przydatne wobec bezpaństwowych zapór ogniowych.

Podczas gdy skan świąteczny usuwa Syn flaga lub bit z pakietu TCP i zastępuje go PŁETWA, Psh, I Urg nagłówki lub flagi, skan zerowy usuwa bit syn lub nagłówek bez wymiany. Usuwa tylko Syn bit (zablokowany przez zapory) z pakietu TCP.

Skan płetwy usuwa Syn nagłówek i używa PŁETWA jeden.

Poniższa składnia należy do skanowania FIN określonego z -SF flaga. Gdzie <Szablon> należy zastąpić jednym z poziomów opisanych w poprzedniej tabeli i <Cel> Z rzeczywistym celem:

sudo nmap -sf -t -v

W praktycznym przykładzie poniżej użytkownik wprowadza skanowanie FIN przeciwko hosta 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -V

W następnym przykładzie skan zerowy jest instruowany z -Sn flaga.

sudo nmap -sn -t2 192.168.0.103 -V

Wszystkie te techniki wykorzystały tę samą zasadę RFC, aby nauczyć się stanu portu zgodnie z odpowiedzią.

Syn Syn Stealth

Inne techniki skanowania Stealth, takie jak SYN SKANE, przerywają komunikację przed jej ustanowieniem, zapobiegając rejestrowaniu zapór lub reagowania przed skanowaniem.

Syn Skanuj, kolejna metoda skanowania, jest wdrażana z -SS flaga, jak pokazano poniżej:

Ten typ skanowania jest głęboko wyjaśniony w naszym artykule NMAP Stealth Scan.

Bity FIN, PSH i URG

Skany świąteczne i płetwy używają następujących bitów:

  • PSH: Bufory TCP umożliwiają przenoszenie danych, gdy wysyłasz więcej niż segment o maksymalnym rozmiarze. Jeśli bufor nie jest pełny, flaga PSH (push) pozwala mu i tak ją wysłać, wypełniając nagłówek lub instruując TCP do wysyłania pakietów. Za pośrednictwem tej flagi ruch generujący aplikację informuje, że dane muszą zostać przesłane natychmiast, a docelowe są poinformowane dane muszą być natychmiast wysyłane do aplikacji.
  • URG: Ta flaga informuje określone segmenty są pilne i należy je ustalić priorytety. Po włączeniu flagi odbiornik odczytuje segment 16 bitów w nagłówku. Ten segment wskazuje pilne dane z pierwszego bajtu. Obecnie ta flaga jest prawie nieużywana.
  • PŁETWA: Pakiety RST zostały wyjaśnione w wymienionym powyżej samouczku (Skan NMAP Stealth). W przeciwieństwie do pakietów RST, pakietów FIN, zamiast informować o zakończeniu połączenia, żąda go od interaktywnego hosta i poczekaj, aż uzyskanie potwierdzenia w celu zakończenia połączenia.

IPTABLES ZASADY WARTOŚĆ SKANOWANIA XMAS

Właśnie dzisiaj wszystkie zapory ogniowe są chronione przed skanami Bożego Narodzenia, Null i Fin. Ale zapory zapory wobec takiej działalności są pomocne w zrozumieniu, w jaki sposób pakiety podchodzą zapory ogniowe.

iptables -a wejście -p tcp - -tcp -flags fin, urg, psh fin, urg, psh -J drop
iptables -a wejście -p tcp - -tcp -flags
iptables -a wejście -p tcp - -tcp -flags Wszystkie brak -j upuść
iptables -a wejście -p tcp - -tcp -flags syn, rst syn, rst -j upuść

Wniosek

Chociaż skanowanie XMAS nie jest nowe, a większość systemów obronnych jest w stanie go wykryć, stając się przestarzałą techniką przeciwko dobrze chronionym celom, jest to świetny sposób na wprowadzenie nietypowych segmentów TCP, takich jak PSH i URG oraz zrozumienie sposobu, w jaki NMAP Analizuje pakiety, aby uzyskać wnioski na cele.

Ten skan jest bardziej niż metodą ataku, jest przydatne do przetestowania zapory lub systemu wykrywania włamania. Wspomniane wcześniej reguły IPTABLES powinny wystarczyć, aby zatrzymać takie ataki od zdalnych hostów. Ten skan jest bardzo podobny do skanów NULL i FIN zarówno w sposób, w jaki działają, i niską skuteczność wobec chronionych celów.

Jak widać, skany XMAS mogą zostać uruchomione przez każdego użytkownika niezależnie od poziomu wiedzy. Zrozumienie ich jest dość łatwe dla każdego, kto zapoznał się z nawiązywaniem kontaktów. Jednak prawdopodobnie nie powiedzie się, ponieważ każdy wykorzysty dla każdej starożytnej dziury bezpieczeństwa.

Mam nadzieję, że ten artykuł przydatny w zrozumieniu skanów Xmas za pomocą NMAP. Kontynuuj podążaj za Linux, aby uzyskać więcej wskazówek i aktualizacji na temat Linux, sieci i bezpieczeństwa.