Xmas-сканирование Nmap считалось скрытым сканированием, которое анализирует ответы на Xmas-пакеты, чтобы определить природу отвечающего устройства. Каждая операционная система или сетевое устройство по-разному реагирует на рождественские пакеты, раскрывая локальную информацию, такую как ОС (операционная система), состояние порта и многое другое. В настоящее время многие брандмауэры и системы обнаружения вторжений могут обнаруживать рождественские пакеты, и это не лучший метод для выполнения скрытого сканирования, но чрезвычайно полезно понять, как оно работает.
В последней статье о Nmap Stealth Scan было объяснено, как устанавливаются TCP- и SYN-соединения (необходимо прочитать, если вам неизвестно), но пакеты КОНЕЦ , PA а также URG особенно актуальны для Рождества, потому что пакеты без SYN, RST или УВЫ производные при сбросе соединения (RST), если порт закрыт, и нет ответа, если порт открыт. При отсутствии таких пакетов для сканирования достаточно комбинаций FIN, PSH и URG.
Пакеты FIN, PSH и URG:
PSH: Буферы TCP позволяют передавать данные, когда вы отправляете больше сегмента с максимальным размером. Если буфер не заполнен, флаг PSH (PUSH) позволяет отправить его в любом случае, заполнив заголовок или указав TCP отправлять пакеты. С помощью этого флага приложение, генерирующее трафик, сообщает, что данные должны быть отправлены немедленно, адресат получает информацию, данные должны быть немедленно отправлены в приложение.
URG: Этот флаг сообщает, что определенные сегменты являются срочными и должны иметь приоритет, когда флаг включен, получатель будет читать 16-битный сегмент в заголовке, этот сегмент указывает на срочные данные из первого байта. В настоящее время этот флаг практически не используется.
КОНЕЦ: Пакеты RST были объяснены в упомянутом выше руководстве ( Nmap Stealth Scan ), в отличие от пакетов RST, пакеты FIN вместо того, чтобы сообщать о завершении соединения, запрашивают его у взаимодействующего хоста и ждут, пока не будет получено подтверждение о завершении соединения.
Состояния порта
Открыть | отфильтровано: Nmap не может определить, открыт порт или отфильтрован, даже если порт открыт, сканирование Xmas сообщит, что он открыт | отфильтрован, это происходит, когда не получено никакого ответа (даже после повторных передач).
Закрыто: Nmap обнаруживает, что порт закрыт, это происходит, когда ответ представляет собой пакет TCP RST.
Отфильтровано: Nmap обнаруживает брандмауэр, фильтрующий просканированные порты, это происходит, когда ответ - ошибка недоступности ICMP (тип 3, код 1, 2, 3, 9, 10 или 13). На основе стандартов RFC Nmap или Xmas scan способны интерпретировать состояние порта.
Xmas-сканирование, так же как сканирование NULL и FIN не может различить закрытый и отфильтрованный порт, как упоминалось выше, это ответ пакета - это ошибка ICMP. Nmap помечает его как отфильтрованный, но, как описано в книге Nmap, если зонд забанен без ответа, он кажется открытым, поэтому Nmap показывает открытые порты и определенные отфильтрованные порты как открытые | отфильтрованные
Какие средства защиты могут обнаружить сканирование Xmas ?: Межсетевые экраны без сохранения состояния против межсетевых экранов с отслеживанием состояния:
Межсетевые экраны без отслеживания состояния или без отслеживания состояния реализуют политики в соответствии с источником трафика, местом назначения, портами и аналогичными правилами, игнорируя стек TCP или дейтаграмму протокола. В отличие от межсетевых экранов без сохранения состояния, межсетевых экранов с отслеживанием состояния, он может анализировать пакеты, обнаруживая поддельные пакеты, манипулирование MTU (максимальная единица передачи) и другие методы, предоставляемые Nmap и другим программным обеспечением для сканирования, для обхода безопасности межсетевого экрана. Поскольку Xmas-атака представляет собой манипулирование пакетами, межсетевые экраны с отслеживанием состояния могут обнаружить ее, а межсетевые экраны без отслеживания состояния - нет, система обнаружения вторжений также обнаружит эту атаку при правильной настройке.
Шаблоны времени:
Параноик: -T0, очень медленный, полезен для обхода IDS (систем обнаружения вторжений)
Подлый: -T1, очень медленный, также полезен для обхода IDS (систем обнаружения вторжений)
Вежливый: -T2, нейтральный.
Обычный: -T3, это режим по умолчанию.
Агрессивный: -T4, быстрое сканирование.
Безумный: -T5, быстрее, чем метод агрессивного сканирования.
Примеры сканирования Nmap Xmas
В следующем примере показано вежливое сканирование Xmas на LinuxHint.
nmap -sX -T2linuxhint.com 
Пример агрессивного сканирования Xmas против LinuxHint.com
nmap -sX -T4linuxhint.com 
Применяя флаг -sV для определения версии вы можете получить дополнительную информацию о конкретных портах и различать отфильтрованные и отфильтрованные порты, но, хотя Xmas считался методом скрытого сканирования, это добавление может сделать сканирование более заметным для брандмауэров или IDS.
nmap -sV -sX -T4linux.lat 
Правила iptables для блокировки сканирования Xmas
Следующие правила iptables могут защитить вас от сканирования Xmas:
iptables-КВХОД-пTCP--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jУРОНИТЬiptables-КВХОД-пTCP--tcp-flagsВСЕ ВСЕ-jУРОНИТЬ
iptables-КВХОД-пTCP--tcp-flagsВСЕ НЕТ-jУРОНИТЬ
iptables-КВХОД-пTCP--tcp-flagsSYN, RST SYN, RST-jУРОНИТЬ
Заключение
Хотя сканирование Xmas не ново, и большинство систем защиты способны обнаружить, что он становится устаревшим методом против хорошо защищенных целей, это отличный способ познакомиться с необычными сегментами TCP, такими как PSH и URG, и понять, как Nmap анализирует пакеты. получить выводы по целям. Это сканирование не только метод атаки, но и полезен для проверки вашего брандмауэра или системы обнаружения вторжений. Упомянутых выше правил iptables должно быть достаточно, чтобы остановить такие атаки с удаленных хостов. Это сканирование очень похоже на сканирование NULL и FIN как по принципу работы, так и по низкой эффективности против защищенных целей.
Надеюсь, вы нашли эту статью полезной в качестве введения в Xmas-сканирование с помощью Nmap. Следите за LinuxHint, чтобы получить больше советов и обновлений по Linux, сети и безопасности.
Статьи по Теме:
- Как сканировать сервисы и уязвимости с помощью Nmap
- Использование скриптов nmap: захват баннера Nmap
- сканирование сети nmap
- Nmap ping sweep
- флаги nmap и что они делают
- Установка и руководство OpenVAS Ubuntu
- Установка сканера уязвимостей Nexpose в Debian / Ubuntu
- Iptables для начинающих
Главный источник: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html