Nmap Xmas scan се счита за скрито сканиране, което анализира отговорите на коледните пакети, за да определи естеството на отговарящото устройство. Всяка операционна система или мрежово устройство реагира по различен начин на коледни пакети, разкриващи локална информация, като операционна система (OS), състояние на порта и др. В момента много защитни стени и система за откриване на проникване могат да откриват коледни пакети и това не е най -добрата техника за извършване на скрито сканиране, но е изключително полезно да се разбере как работи.
В последната статия за Nmap Stealth Scan беше обяснено как се установяват TCP и SYN връзки (трябва да се четат, ако не са ви известни), но пакетите КРАЙ , PA и URG са особено подходящи за Коледа, защото пакети без SYN, RST или ALAS производни при нулиране на връзката (RST), ако портът е затворен и няма отговор, ако портът е отворен. Преди липсата на такива пакети комбинации от FIN, PSH и URG са достатъчни за извършване на сканирането.
Пакети FIN, PSH и URG:
PSH: TCP буферите позволяват пренос на данни, когато изпращате повече от сегмент с максимален размер. Ако буферът не е пълен, флагът PSH (PUSH) позволява все пак да го изпрати, като попълни заглавката или инструктира TCP да изпраща пакети. Чрез този флаг приложението, генериращо трафик, информира, че данните трябва да бъдат изпратени незабавно, дестинацията е информирана, данните трябва да бъдат изпратени незабавно до приложението.
URG: Този флаг информира, че конкретни сегменти са спешни и трябва да бъдат с приоритет, когато флагът е активиран, приемникът ще прочете 16 -битов сегмент в заглавката, този сегмент показва спешните данни от първия байт. В момента този флаг е почти неизползван.
КРАЙ: RST пакетите бяха обяснени в споменатия по -горе урок ( Nmap Stealth Scan ), за разлика от RST пакетите, FIN пакетите, вместо да информират за прекратяване на връзката, го изискват от взаимодействащия хост и чакат, докато получат потвърждение за прекратяване на връзката.
Пристанищни държави
Отваряне | филтрирано: Nmap не може да открие дали портът е отворен или филтриран, дори ако портът е отворен, коледното сканиране ще го отчете като отворено | филтрирано, това се случва, когато не е получен отговор (дори след повторни предавания).
Затворен: Nmap открива, че портът е затворен, това се случва, когато отговорът е TCP RST пакет.
Филтрирано: Nmap открива защитна стена, която филтрира сканираните портове, това се случва, когато отговорът е ICMP недостъпна грешка (тип 3, код 1, 2, 3, 9, 10 или 13). Въз основа на стандартите RFC Nmap или Xmas сканирането може да интерпретира състоянието на порта
Коледното сканиране, точно както NULL и FIN сканирането не може да направи разлика между затворен и филтриран порт, както бе споменато по -горе, е отговорът на пакета е ICMP грешка Nmap го маркира като филтриран, но както е обяснено в Nmap book, ако сондата е забранен без отговор, изглежда отворен, затова Nmap показва отворени портове и някои филтрирани портове като отворени | филтрирани
Каква защита може да открие коледно сканиране?: Защитни стени без гражданство срещу Защитни стени със състояние:
Защитните стени без гражданство или без състояние провеждат политики в съответствие с източника на трафик, местоназначението, пристанищата и подобни правила, игнорирайки TCP стека или дейтаграмата на протокола. За разлика от защитните стени без държава, защитните стени с държавно състояние, той може да анализира пакети, откриващи подправени пакети, манипулиране на MTU (максимално предаване) и други техники, предоставени от Nmap и друг софтуер за сканиране, за да заобиколи защитата на защитната стена. Тъй като Коледната атака е манипулация на пакети, състоящите се в защитни стени със състояние е вероятно да я открият, докато защитните стени без гражданство не са, Системата за откриване на проникване също ще открие тази атака, ако е конфигурирана правилно.
Шаблони за време:
Параноик: -T0, изключително бавен, полезен за заобикаляне на IDS (Системи за откриване на проникване)
Подъл: -T1, много бавен, също полезен за заобикаляне на IDS (Системи за откриване на проникване)
Учтив: -T2, неутрален.
Нормално: -T3, това е режимът по подразбиране.
Агресивно: -T4, бързо сканиране.
Луд: -T5, по -бърз от техниката на агресивно сканиране.
Примери за Nmap Xmas Scan
Следващият пример показва любезно коледно сканиране срещу LinuxHint.
nmap -sX -T2linuxhint.com 
Пример за агресивно коледно сканиране срещу LinuxHint.com
nmap -sX -T4linuxhint.com 
Чрез прилагане на флага -sV за откриване на версия можете да получите повече информация за конкретни портове и да правите разлика между филтрирани и филтрирани портове, но докато Коледа се смяташе за техника на скрито сканиране, това допълнение може да направи сканирането по -видимо за защитните стени или IDS.
nmap -sV -sX -T4linux.lat 
Правила на Iptables за блокиране на коледното сканиране
Следните правила за iptables могат да ви предпазят от коледно сканиране:
iptables-ДА СЕВХОД-стрtcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jИЗПУСКАЙТЕiptables-ДА СЕВХОД-стрtcp--tcp-flagsВСИЧКИ ВСИЧКИ-jИЗПУСКАЙТЕ
iptables-ДА СЕВХОД-стрtcp--tcp-flagsВСИЧКИ НИКОЙ-jИЗПУСКАЙТЕ
iptables-ДА СЕВХОД-стрtcp--tcp-flagsSYN, RST SYN, RST-jИЗПУСКАЙТЕ
Заключение
Въпреки че коледното сканиране не е ново и повечето защитни системи могат да го открият като остаряла техника срещу добре защитени цели, това е чудесен начин за въвеждане на необичайни TCP сегменти като PSH и URG и за разбиране на начина, по който Nmap анализира пакетите вземете заключения за целите. Повече от метод за атака, това сканиране е полезно за тестване на вашата защитна стена или система за откриване на проникване. Правилата за iptables, споменати по -горе, трябва да са достатъчни, за да спрат подобни атаки от отдалечени хостове. Това сканиране е много подобно на NULL и FIN сканиране както по начина, по който работят, така и по ниска ефективност срещу защитени цели.
Надявам се, че сте намерили тази статия за полезна като въведение в коледното сканиране с помощта на Nmap. Продължавайте да следвате LinuxHint за повече съвети и актуализации за Linux, работа в мрежа и сигурност.
Свързани статии:
- Как да сканирам за услуги и уязвимости с Nmap
- Използване на скриптове на nmap: Захващане на банер на Nmap
- nmap мрежово сканиране
- nmap ping почистване
- nmap флагове и какво правят
- Инсталиране и ръководство за OpenVAS Ubuntu
- Инсталиране на скенера за уязвимости на Nexpose на Debian/Ubuntu
- Iptables за начинаещи
Основен източник: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html