Escaneig de Nadal de Nmap

Nmap Xmas Scan



L'exploració de Nmap Xmas es va considerar una exploració furtiva que analitza les respostes als paquets de Nadal per determinar la naturalesa del dispositiu de resposta. Cada sistema operatiu o dispositiu de xarxa respon d'una manera diferent als paquets de Nadal que revelen informació local com ara el sistema operatiu (sistema operatiu), l'estat del port i molt més. Actualment, molts tallafocs i el sistema de detecció d’intrusos poden detectar paquets de Nadal i no és la millor tècnica per realitzar un escaneig furtiu, tot i que és extremadament útil entendre com funciona.

En l’últim article sobre Nmap Stealth Scan es va explicar com s’estableixen les connexions TCP i SYN (heu de llegir si és desconegut per a vosaltres), però els paquets FI , PA i URG són especialment rellevants per al Nadal perquè els paquets sense SYN, RST o bé ALAS derivats en un restabliment de connexió (RST) si el port està tancat i no hi ha resposta si el port està obert. Abans de l'absència d'aquest tipus de paquets, les combinacions de FIN, PSH i URG són suficients per dur a terme l'escaneig.





Paquets FIN, PSH i URG:

PSH: Els buffers TCP permeten la transferència de dades quan envieu més d’un segment amb una mida màxima. Si la memòria intermèdia no està plena, la marca PSH (PUSH) permet enviar-la de totes maneres omplint la capçalera o indicant a TCP que enviï paquets. Mitjançant aquest indicador, l'aplicació que genera trànsit informa que les dades s'han d'enviar immediatament; la destinació s'informa que les dades s'han d'enviar immediatament a l'aplicació.



URG: Aquest indicador informa que els segments específics són urgents i s’ha de prioritzar, quan el senyalador estigui habilitat, el receptor llegirà un segment de 16 bits a la capçalera, aquest segment indica les dades urgents del primer byte. Actualment aquesta bandera està pràcticament inutilitzada.



FI: Els paquets RST es van explicar al tutorial esmentat anteriorment ( Nmap Stealth Scan ), al contrari que els paquets RST, els paquets FIN en lloc d'informar sobre la finalització de la connexió ho sol·liciten a l'amfitrió en interacció i espera fins a obtenir una confirmació per finalitzar la connexió.



Estats del port

Obert | filtrat: Nmap no pot detectar si el port està obert o filtrat, fins i tot si el port està obert, l’escaneig de Nadal l’informarà que està obert | filtrat, passa quan no es rep cap resposta (fins i tot després de retransmissions).

Tancat: Nmap detecta que el port està tancat, passa quan la resposta és un paquet TCP RST.



Filtrat: Nmap detecta un tallafoc que filtra els ports escanejats; passa quan la resposta és ICMP d'error inaccessible (tipus 3, codi 1, 2, 3, 9, 10 o 13). Basat en els estàndards RFC, Nmap o l'escaneig de Nadal són capaços d'interpretar l'estat del port

L'exploració de Nadal, de la mateixa manera que l'exploració NULL i FIN no pot distingir entre un port tancat i filtrat, com s'ha esmentat anteriorment, és que la resposta del paquet és un error ICMP que Nmap l'etiqueta com a filtrat, però tal com s'explica al llibre Nmap si la sonda és prohibit sense resposta sembla obert, per tant, Nmap mostra els ports oberts i certs ports filtrats com a oberts | filtrats

Quines defenses poden detectar una exploració de Nadal ?: Tallafocs sense estat contra tallafocs amb estat:

Els tallafocs sense estat o sense estat realitzen polítiques d’acord amb la font del trànsit, la destinació, els ports i normes similars ignorant la pila TCP o el datagrama del protocol. Al contrari dels tallafocs sense estat, els tallafocs amb estat, poden analitzar paquets que detecten paquets falsificats, manipulació MTU (Unitat de transmissió màxima) i altres tècniques proporcionades per Nmap i altres programes d’escaneig per evitar la seguretat del tallafoc. Atès que l’atac de Nadal és una manipulació de paquets de tallafocs amb estat és probable que el detectin mentre que els tallafocs sense estat no ho són, el sistema de detecció d’intrusions també detectarà aquest atac si està configurat correctament.

Plantilles de temps:

Paranoic: -T0, extremadament lent, útil per evitar IDS (Intrusion Detection Systems)
Furtiu: -T1, molt lent, també útil per evitar IDS (Intrusion Detection Systems)
Educat: -T2, neutre.
Normal: -T3, aquest és el mode per defecte.
Agressiu: -T4, exploració ràpida.
Boig: -T5, més ràpid que la tècnica d'escaneig agressiu.

Exemples de Nmap Xmas Scan

L'exemple següent mostra un escaneig de Nadal educat contra LinuxHint.

nmap -sX -T2linuxhint.com

Exemple d'escaneig de Nadal agressiu contra LinuxHint.com

nmap -sX -T4linuxhint.com

Aplicant la bandera -sV per a la detecció de versions, podeu obtenir més informació sobre ports específics i distingir entre ports filtrats i ports filtrats, però, mentre que Xmas es considerava una tècnica d’exploració furtiva, aquesta addició pot fer que l’exploració sigui més visible per als tallafocs o els IDS.

nmap -sV -sX -T4linux.lat

Regles d'Iptables per bloquejar l'escaneig de Nadal

Les regles iptables següents us poden protegir d'un escaneig de Nadal:

iptables-AENTRADA-ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jTIRAR
iptables-AENTRADA-ptcp--tcp-flagsTOTS TOTS-jTIRAR
iptables-AENTRADA-ptcp--tcp-flagsTOT A CAP-jTIRAR
iptables-AENTRADA-ptcp--tcp-flagsSYN, RST SYN, RST-jTIRAR

Conclusió

Tot i que l’escaneig de Nadal no és nou i la majoria dels sistemes de defensa són capaços de detectar que es converteix en una tècnica obsoleta contra objectius ben protegits, és una gran manera d’introduir segments poc habituals de TCP com PSH i URG i entendre la manera com Nmap analitza els paquets. obtenir conclusions sobre els objectius. Més que un mètode d’atac, aquesta exploració és útil per provar el vostre tallafoc o el vostre sistema de detecció d’intrusos. Les regles iptables esmentades anteriorment haurien de ser suficients per aturar aquests atacs des d’amfitrions remots. Aquesta exploració és molt similar a les exploracions NULL i FIN, tant pel seu funcionament com per la seva baixa efectivitat contra objectius protegits.

Espero que aquest article us sigui útil com a introducció a l'escaneig de Nadal amb Nmap. Seguiu seguint LinuxHint per obtenir més consells i actualitzacions sobre Linux, xarxes i seguretat.

Articles relacionats:

  • Com cercar serveis i vulnerabilitats amb Nmap
  • Utilitzant scripts nmap: captura de pancarta Nmap
  • escaneig de xarxa nmap
  • nmap ping sweep
  • nmap flags i què fan
  • Instal·lació i tutorial d’OpenVAS Ubuntu
  • Instal·lació de Nexpose Vulnerability Scanner a Debian / Ubuntu
  • Iptables per a principiants

Font principal: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Categoria

Entrades Populars

Com instal·lar un client instantani d'Oracle per a Toad per a Oracle?

Com enviar la imatge de Docker a Amazon ECR?

Com resoldre el bucle de reparació automàtica de Windows 10

PHP echo vs print declaracions

Com posar en pausa un script de PowerShell

Solucions als problemes del capítol 2 de la base de dades en línia completa d'informàtica i curs de carrera a Internet des del principi

Què significa endl en C++

Falten les opcions de carpeta del menú Eines a l'Explorador de Windows: Winhelponline

Reinicieu el servei de xarxa mitjançant l'ordre systemctl

Com afegir un marge horitzontal i vertical a Tailwind?

Què és HTML Starter Template?

Com convertir un conjunt en una llista a Java

Com afegir un doble espai a LaTeX

Com fer fletxes de verin a Minecraft

Com mostrar muntatges a Linux

Com utilitzar les etiquetes Git per al control de versions

Etiqueta d'article HTML

Com invertir un vector a MATLAB

Com crear un problema al projecte GitLab?

Com convertir tipus de dades mitjançant CAST a PostgreSQL