Nmap Xmas Scan

Nmap Xmas Scan



Nmap Xmas-scan werd beschouwd als een onopvallende scan die reacties op kerstpakketten analyseert om de aard van het antwoordapparaat te bepalen. Elk besturingssysteem of netwerkapparaat reageert op een andere manier op kerstpakketten die lokale informatie onthullen, zoals het besturingssysteem (besturingssysteem), de poortstatus en meer. Momenteel kunnen veel firewalls en Intrusion Detection System kerstpakketten detecteren en het is niet de beste techniek om een ​​stealth-scan uit te voeren, maar het is toch uiterst nuttig om te begrijpen hoe het werkt.

In het laatste artikel over Nmap Stealth Scan werd uitgelegd hoe TCP- en SYN-verbindingen tot stand komen (moet gelezen worden indien onbekend voor u) maar de pakketten EINDE , VADER en DRINGEND zijn vooral relevant voor de kerst omdat pakketten zonder SYN, RST of HELAAS afgeleiden in een verbindingsreset (RST) als de poort gesloten is en geen reactie als de poort open is. Voordat dergelijke pakketten ontbreken, zijn combinaties van FIN, PSH en URG voldoende om de scan uit te voeren.





FIN-, PSH- en URG-pakketten:

PSH: TCP-buffers maken gegevensoverdracht mogelijk wanneer u meer dan een segment met maximale grootte verzendt. Als de buffer niet vol is, maakt de vlag PSH (PUSH) het mogelijk om het toch te verzenden door de header te vullen of TCP opdracht te geven om pakketten te verzenden. Via deze vlag informeert de applicatie die verkeer genereert dat de gegevens onmiddellijk moeten worden verzonden, de bestemming wordt geïnformeerd dat de gegevens onmiddellijk naar de applicatie moeten worden verzonden.



DRINGEND: Deze vlag informeert dat specifieke segmenten urgent zijn en prioriteit moeten krijgen. Wanneer de vlag is ingeschakeld, zal de ontvanger een 16-bits segment in de koptekst lezen, dit segment geeft de urgente gegevens van de eerste byte aan. Momenteel is deze vlag bijna ongebruikt.



EINDE: RST-pakketten werden uitgelegd in de hierboven genoemde tutorial ( Nmap Stealth-scan ), in tegenstelling tot RST-pakketten, FIN-pakketten, in plaats van te informeren over verbindingsbeëindiging, vraagt ​​het van de interactieve host en wacht tot het een bevestiging krijgt om de verbinding te beëindigen.



Havenstaten

Open|gefilterd: Nmap kan niet detecteren of de poort open of gefilterd is, zelfs als de poort open is, zal de kerstscan deze rapporteren als open|gefilterd, het gebeurt wanneer er geen reactie wordt ontvangen (zelfs na hertransmissies).

Gesloten: Nmap detecteert dat de poort is gesloten, het gebeurt wanneer het antwoord een TCP RST-pakket is.



gefilterd: Nmap detecteert een firewall die de gescande poorten filtert, het gebeurt wanneer het antwoord een ICMP onbereikbare fout is (type 3, code 1, 2, 3, 9, 10 of 13). Op basis van de RFC-standaarden kan Nmap of de Xmas-scan de poortstatus interpreteren

De Xmas-scan, net zoals de NULL- en FIN-scan geen onderscheid kunnen maken tussen een gesloten en gefilterde poort, zoals hierboven vermeld, is de pakketreactie een ICMP-fout. Nmap tagt het als gefilterd, maar zoals uitgelegd in het Nmap-boek als de sonde is verbannen zonder reactie lijkt het geopend, daarom toont Nmap open poorten en bepaalde gefilterde poorten als open|gefilterd

Welke verdedigingen kunnen een kerstscan detecteren? Stateless firewalls vs Stateful firewalls:

Stateless of non-stateful firewalls voeren beleid uit volgens de verkeersbron, bestemming, poorten en soortgelijke regels en negeren de TCP-stack of het protocoldatagram. In tegenstelling tot Stateless Firewalls, Stateful Firewalls, kan het pakketten analyseren door vervalste pakketten te detecteren, MTU-manipulatie (Maximum Transmission Unit) en andere technieken die door Nmap en andere scansoftware worden geleverd om de firewallbeveiliging te omzeilen. Aangezien de kerstaanval een manipulatie van pakketten is, zullen stateful firewalls deze waarschijnlijk detecteren, terwijl stateless firewalls dat niet zijn, zal het Intrusion Detection System deze aanval ook detecteren indien correct geconfigureerd.

Tijdschema's:

Paranoïde: -T0, extreem traag, handig om IDS (Intrusion Detection Systems) te omzeilen
Stiekem: -T1, erg traag, ook handig om IDS (Intrusion Detection Systems) te omzeilen
Beleefd: -T2, neutraal.
Normaal: -T3, dit is de standaardmodus.
Agressief: -T4, snelle scan.
Gestoord: -T5, sneller dan agressieve scantechniek.

Voorbeelden van Nmap Xmas Scan

Het volgende voorbeeld toont een beleefde kerstscan tegen LinuxHint.

nmap -sX -T2linuxhint.com

Voorbeeld van agressieve kerstscan tegen LinuxHint.com

nmap -sX -T4linuxhint.com

Door de vlag aan te brengen -sV voor versiedetectie kunt u meer informatie krijgen over specifieke poorten en onderscheid maken tussen gefilterde en gefilterde poorten, maar hoewel Xmas als een stealth-scantechniek werd beschouwd, kan deze toevoeging de scan beter zichtbaar maken voor firewalls of IDS.

nmap -sV -sX -T4linux.lat

Iptables-regels om Xmas-scan te blokkeren

De volgende iptables-regels kunnen u beschermen tegen een kerstscan:

iptables-TOTINVOER-Ptcp--tcp-vlaggenFIN, URG, PSH FIN, URG, PSH-JLATEN VALLEN
iptables-TOTINVOER-Ptcp--tcp-vlaggenALLES-JLATEN VALLEN
iptables-TOTINVOER-Ptcp--tcp-vlaggenALLES GEEN-JLATEN VALLEN
iptables-TOTINVOER-Ptcp--tcp-vlaggenSYN,RST SYN,RST-JLATEN VALLEN

Conclusie

Hoewel de kerstscan niet nieuw is en de meeste verdedigingssystemen in staat zijn om te detecteren dat het een verouderde techniek wordt tegen goed beschermde doelen, is het een geweldige manier om kennis te maken met ongebruikelijke TCP-segmenten zoals PSH en URG en om de manier te begrijpen waarop Nmap pakketten analyseert conclusies trekken over doelen. Deze scan is meer dan een aanvalsmethode en is nuttig om uw firewall of inbraakdetectiesysteem te testen. De hierboven genoemde iptables-regels zouden voldoende moeten zijn om dergelijke aanvallen van externe hosts te stoppen. Deze scan lijkt erg op NULL- en FIN-scans, zowel wat betreft de manier waarop ze werken als de lage effectiviteit tegen beschermde doelen.

Ik hoop dat je dit artikel nuttig vond als inleiding tot Xmas-scan met Nmap. Blijf Linux volgen Hint voor meer tips en updates over Linux, netwerken en beveiliging.

Gerelateerde artikelen:

  • Scannen op services en kwetsbaarheden met Nmap
  • Nmap-scripts gebruiken: Nmap banner grab
  • nmap netwerk scannen
  • nmap ping sweep
  • nmap-vlaggen en wat ze doen
  • OpenVAS Ubuntu-installatie en zelfstudie
  • Nexpose Vulnerability Scanner installeren op Debian/Ubuntu
  • Iptables voor beginners

Hoofdbron: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Categorie

Populaire Berichten

Externe IP's van service weigeren configureren in Kubernetes

Records ophalen met Rest API in Salesforce

Herstel registersleutels vanaf een systeemherstelpunt in Windows - Winhelponline

Verbinding maken met MySQL Server met behulp van MySQL en MySQL Shell

Hoe systeembeveiliging in Windows 10 en 11 in- of uitschakelen?

Is er een functie om een ​​array in C++ te kopiëren?

Een voorinstelling maken in Tailwind

Hoe maak je een nieuw project aan op GitLab?

Wat is een set in TypeScript en hoe kan deze worden gebruikt?

Hoe WoeUSB te installeren in Linux Mint

Beeldschermstuurprogramma reageert niet meer en is hersteld

Hoe paar in C # te gebruiken

Toon volledig pad in de adresbalk voor speciale mappen in Windows 10 - Winhelponline

Kubernetes-netwerkbeleid maken

Hoe de Navigator userAgentData-eigenschap te begrijpen?

Is Discord veilig? Hoe tieners veilig te houden op onenigheid?

Integreer Salesforce met uw Facebook

Naar een element scrollen met JavaScript

Wat is het proces van het maken van een koptekst met behulp van HTML en CSS?

Wat is Amazon Elastic Beanstalk?