Vianočné skenovanie Nmap

Vianočný sken Nmap bol považovaný za nenápadný sken, ktorý analyzuje reakcie na vianočné pakety a určuje povahu odpovedajúceho zariadenia. Každý operačný systém alebo sieťové zariadenie reaguje na vianočné pakety iným spôsobom a odhaľuje miestne informácie, ako napríklad operačný systém (operačný systém), stav portu a ďalšie. V súčasnosti mnohé brány firewall a systém detekcie narušenia môžu detegovať vianočné pakety a nie je to najlepšia technika na vykonanie tajného skenovania, napriek tomu je veľmi užitočné pochopiť, ako funguje.

V minulom článku o Nmap Stealth Scan bolo vysvetlené, ako sa nadväzujú pripojenia TCP a SYN (musíte si ich prečítať, ak vám nie sú známe), ale pakety KONIEC , PA a URG sú obzvlášť dôležité pre Vianoce, pretože pakety bez SYN, RST alebo ALAS deriváty pri obnovení pripojenia (RST), ak je port zatvorený a žiadna odpoveď, ak je port otvorený. Pred absenciou takýchto paketov stačia na skenovanie kombinácie FIN, PSH a URG.

Pakety FIN, PSH a URG:

PSH: Vyrovnávacie pamäte TCP umožňujú prenos údajov, ak odosielate viac ako segment s maximálnou veľkosťou. Ak vyrovnávacia pamäť nie je plná, príznak PSH (PUSH) umožňuje odoslanie aj tak vyplnením hlavičky alebo pokynom TCP na odosielanie paketov. Prostredníctvom tohto príznaku aplikácia generujúca premávku informuje, že údaje je potrebné odoslať okamžite. Informované miesto určenia je potrebné do aplikácie odoslať okamžite.

URG: Tento príznak informuje, že konkrétne segmenty sú naliehavé a musia mať prioritu. Keď je príznak povolený, prijímač načíta 16 -bitový segment v hlavičke, tento segment označuje naliehavé údaje z prvého bajtu. V súčasnosti je táto vlajka takmer nepoužívaná.

KONIEC: RST pakety boli vysvetlené v tutoriáli uvedenom vyššie ( Skryté skenovanie Nmap ), na rozdiel od paketov RST, pakety FIN, namiesto toho, aby informovali o ukončení pripojenia, to vyžadujú od interagujúceho hostiteľa a čakajú, kým nedostanú potvrdenie o ukončení pripojenia.

Štáty prístavu

Otvoriť | filtrované: Nmap nedokáže zistiť, či je port otvorený alebo filtrovaný, aj keď je port otvorený, vianočný sken ho nahlási ako otvorený | filtrovaný, stane sa to vtedy, keď neprijme žiadnu odpoveď (ani po opätovnom prenose).

Zatvorené: Nmap zistí, že je port zatvorený, čo sa stane, keď je odpoveďou paket TCP RST.

Filtrované: Nmap detekuje bránu firewall filtrujúcu naskenované porty, stane sa to vtedy, keď odpoveďou je nedosiahnuteľná chyba ICMP (typ 3, kód 1, 2, 3, 9, 10 alebo 13). Na základe štandardov RFC je Nmap alebo vianočný sken schopný interpretovať stav portu

Vianočné skenovanie, rovnako ako skenovanie NULL a FIN nedokáže rozlíšiť medzi uzavretým a filtrovaným portom, ako je uvedené vyššie, spočíva v tom, že odpoveďou paketu je chyba ICMP Nmap ho označí ako filtrovaný, ale ako je vysvetlené v knihe Nmap, ak je sonda zakázané bez reakcie, zdá sa byť otvorené, preto Nmap zobrazuje otvorené porty a niektoré filtrované porty ako otvorené | filtrované

Aké obrany môžu detegovať vianočné skenovanie?: Bezstavové brány firewall a stavové brány firewall:

Bezstavové alebo neštátne brány firewall vykonávajú politiky podľa zdroja návštevnosti, cieľa, portov a podobných pravidiel, pričom ignorujú zásobník TCP alebo datagram protokolu. Na rozdiel od bezstavových brán firewall, stavových brán firewall, dokáže analyzovať pakety zisťujúce falšované pakety, manipuláciu s MTU (jednotka maximálneho prenosu) a ďalšie techniky poskytované Nmapom a iným skenovacím softvérom na obídenie zabezpečenia brány firewall. Pretože je vianočný útok manipuláciou s paketmi, stavové brány firewall ho pravdepodobne zistia, zatiaľ čo bezstavové firewally nie sú, systém detekcie prienikov tento útok detekuje, ak je správne nakonfigurovaný.

Šablóny načasovania:

Paranoidný: -T0, extrémne pomalý, užitočný na obídenie IDS (systémy detekcie narušenia)
Záludný: -T1, veľmi pomalý, tiež užitočný na obídenie IDS (systémy detekcie narušenia)
Zdvorilý: -T2, neutrál.
Normálne: -T3, toto je predvolený režim.
Agresívne: -T4, rýchle skenovanie.
Šialené: -T5, rýchlejšie ako technika agresívneho skenovania.

Príklady vianočného skenovania Nmap

Nasledujúci príklad ukazuje zdvorilé vianočné skenovanie proti LinuxHint.

Príklad agresívneho vianočného skenovania proti LinuxHint.com

Použitím vlajky -sV na zisťovanie verzií môžete získať viac informácií o konkrétnych portoch a rozlišovať medzi filtrovanými a filtrovanými portami, ale zatiaľ čo Vianoce boli považované za nenápadnú techniku ​​skenovania, toto pridanie môže zvýšiť viditeľnosť kontroly pre brány firewall alebo IDS.

Pravidlá iptables na blokovanie vianočného skenovania

Nasledujúce pravidlá iptables vás môžu chrániť pred vianočným skenovaním:

Záver

Aj keď vianočný sken nie je nový a väčšina obranných systémov dokáže detekovať, že sa stáva zastaranou technikou proti dobre chráneným cieľom, je to skvelý spôsob, ako sa zoznámiť s neobvyklými segmentmi TCP, ako sú PSH a URG, a porozumieť spôsobu, akým Nmap analyzuje pakety vyvodiť závery o cieľoch. Táto kontrola je viac ako metóda útoku a je užitočná na testovanie brány firewall alebo systému detekcie narušenia. Vyššie uvedené pravidlá iptables by mali stačiť na zastavenie takýchto útokov zo vzdialených hostiteľov. Toto skenovanie je veľmi podobné skenovaniu NULL a FIN, a to tak spôsobom, akým funguje, ako aj nízkou účinnosťou voči chráneným cieľom.

Dúfam, že ste tento článok považovali za užitočný ako úvod do vianočného skenovania pomocou Nmap. Sledujte LinuxHint, aby ste získali ďalšie tipy a aktualizácie týkajúce sa Linuxu, sietí a zabezpečenia.

Súvisiace články:

• Ako vyhľadávať služby a zraniteľné miesta pomocou Nmap
• Použitie skriptov nmap: Uchopenie bannera Nmap
• sieťové skenovanie nmap
• nmap ping sweep
• vlajky nmap a čo robia
• OpenVAS Ubuntu Inštalácia a návod
• Inštalácia skenera zraniteľnosti Nexpose na Debian/Ubuntu
• Iptables pre začiatočníkov

Hlavný zdroj: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html