Phenquestions
Úvod do Xmas Scan
Vianočné skenovanie Nmap sa považovalo za nenápadné skenovanie, ktoré analyzuje reakcie na vianočné pakety a určuje povahu odpovedajúceho zariadenia. Každý operačný systém alebo sieťové zariadenie reaguje iným spôsobom na vianočné pakety, ktoré odhaľujú miestne informácie, ako napríklad OS (operačný systém), stav portu a ďalšie. V súčasnosti mnoho brán firewall a systému detekcie vniknutia dokáže zistiť vianočné pakety a nie je to najlepšia technika na vykonanie tajného skenovania, je však mimoriadne užitočné pochopiť, ako to funguje.
V minulom článku o Nmap Stealth Scan bolo vysvetlené, ako sú nadviazané TCP a SYN spojenia (musí sa čítať, ak vám nie sú známe), ale pakety FIN, PSH a URG sú obzvlášť dôležité pre Vianoce, pretože pakety bez SYN, RST alebo ACK deriváty v resetovaní spojenia (RST), ak je port zatvorený, a bez odozvy, ak je port otvorený. Pred absenciou takýchto paketov stačia na vykonanie skenovania kombinácie FIN, PSH a URG.
Pakety FIN, PSH a URG:
PSH: Vyrovnávacie pamäte TCP umožňujú prenos údajov, keď odosielate viac ako segment s maximálnou veľkosťou. Ak vyrovnávacia pamäť nie je plná, príznak PSH (PUSH) umožňuje odoslať ju aj tak vyplnením hlavičky alebo pokynom TCP na odoslanie paketov. Prostredníctvom tohto príznaku aplikácia generujúca prenos informuje, že údaje musia byť odoslané okamžite, cieľový informovaný údaj musí byť okamžite odoslaný do aplikácie.
URG: Tento príznak informuje, že určité segmenty sú urgentné a musí sa uprednostniť, keď je tento príznak povolený, prijímač prečíta 16-bitový segment v záhlaví, tento segment označuje urgentné údaje z prvého bajtu. V súčasnosti je tento príznak takmer nepoužívaný.
FIN: Pakety RST boli vysvetlené vo vyššie uvedenom návode (Nmap Stealth Scan), na rozdiel od paketov RST, pakety FIN namiesto informovania o ukončení spojenia požadujú od interagujúceho hostiteľa a počkajú, kým nedostanú potvrdenie o ukončení spojenia.
Štáty prístavu
Otvorené | filtrované: Nmap nedokáže zistiť, či je port otvorený alebo filtrovaný, aj keď je port otvorený, vianočná kontrola ho nahlási ako otvorený | filtrovaný, stane sa to, keď nie je prijatá odpoveď (ani po opakovaných prenosoch).
Zatvorené: Nmap zistí, že port je zatvorený, stane sa to, keď je odpoveďou paket TCP RST.
Filtrované: Nmap detekuje bránu firewall filtrujúcu skenované porty, stane sa to, keď je odpoveďou nedosiahnuteľná chyba ICMP (typ 3, kód 1, 2, 3, 9, 10 alebo 13). Na základe štandardov RFC je Nmap alebo Xmas scan schopný interpretovať stav portu
Vianočné skenovanie, rovnako ako skenovanie NULL a FIN nedokáže rozlíšiť medzi uzavretým a filtrovaným portom, ako je uvedené vyššie, je odpoveďou paketu chyba ICMP, značka Nmap ju označí ako filtrovanú, ale ako je vysvetlené v knihe Nmap, ak je sonda zakázaný bez odpovede sa zdá byť otvorený, preto Nmap zobrazuje otvorené porty a niektoré filtrované porty ako otvorené | filtrované
Aká obrana dokáže zistiť vianočný sken?: Brány firewall bez štátnej príslušnosti vs brány stavu firewall:
Bezstavové alebo nestabilné brány firewall vykonávajú politiky podľa zdroja prenosu, cieľa, portov a podobných pravidiel, pričom ignorujú zásobník TCP alebo datagram protokolu. Oproti firewallom bez štátnej príslušnosti, stavovým firewallom, dokáže analyzovať pakety detekujúce sfalšované pakety, manipuláciu s MTU (maximálna prenosová jednotka) a ďalšie techniky poskytované Nmapom a iným skenovacím softvérom na obídenie zabezpečenia bránou firewall. Pretože vianočný útok predstavuje manipuláciu s paketmi, je pravdepodobné, že ho zistia stavové brány firewall, zatiaľ čo firewally bez štátnej príslušnosti nie, systém detekcie narušenia tiež tento útok zistí, ak je správne nakonfigurovaný.
Časovacie šablóny:
Paranoidné: -T0, extrémne pomalý, vhodný na obídenie IDS (systémy detekcie vniknutia)
Zaludny: -T1, veľmi pomalý, tiež vhodný na obídenie IDS (systémy detekcie vniknutia)
Zdvorilý: -T2, neutrálny.
Normálne: -T3, toto je predvolený režim.
Agresívny: -T4, rýchle skenovanie.
Šialený: -T5, rýchlejší ako technika agresívneho skenovania.
Príklady Nmap Xmas Scan
Nasledujúci príklad ukazuje zdvorilé vianočné skenovanie proti LinuxHint.
nmap -sX -T2 linuxhint.com
Príklad agresívneho vianočného skenovania proti LinuxHint.com
nmap -sX -T4 linuxhint.com
Umiestnením vlajky -sV pre detekciu verzií môžete získať viac informácií o konkrétnych portoch a rozlišovať medzi filtrovanými a filtrovanými portami, ale zatiaľ čo Xmas bol považovaný za techniku stealth skenovania, toto doplnenie môže zvýšiť viditeľnosť kontroly pre firewally alebo IDS.
nmap -sV -sX -T4 linux.lat
Pravidlá Iptables na blokovanie vianočného skenovania
Pred vianočným skenovaním vás môžu chrániť nasledujúce pravidlá iptables:
iptables -A INPUT -p tcp --tcp-flags FIN, URG, PSH FIN, URG, PSH -j DROPiptables -A VSTUP -p tcp --tcp-vlajky VŠETKY VŠETKY -j DROP
iptables -A VSTUP -p tcp --tcp-vlajky VŠETKY ŽIADNE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
Záver
Aj keď vianočné skenovanie nie je nové a väčšina obranných systémov je schopná zistiť, že sa z neho stáva zastaraná technika proti dobre chráneným cieľom, je skvelým spôsobom ako predstaviť neobvyklé segmenty TCP, ako sú PSH a URG, a pochopiť spôsob, akým Nmap analyzuje pakety. získať závery o cieľoch. Táto kontrola je viac ako metóda útoku užitočná na otestovanie brány firewall alebo systému detekcie narušenia. Vyššie uvedené pravidlá iptables by mali stačiť na zastavenie takýchto útokov od vzdialených hostiteľov. Tento sken je veľmi podobný testom NULL a FIN jednak spôsobom, akým fungujú, jednak nízkou účinnosťou proti chráneným cieľom.
Dúfam, že vám tento článok bol užitočný ako úvod do vianočného skenovania pomocou Nmapu. Stále sledujte LinuxHint, kde nájdete ďalšie tipy a aktualizácie týkajúce sa systému Linux, sietí a zabezpečenia.
Súvisiace články:
- Ako vyhľadávať služby a chyby zabezpečenia pomocou Nmapu
- Používanie skriptov nmap: Uchopenie bannera Nmap
- sieťové skenovanie nmap
- nmap ping sweep
- vlajky nmap a čo robia
- Inštalácia a výučba OpenVAS Ubuntu
- Inštalácia Nexpose Vulnerability Scanner na Debian / Ubuntu
- Iptables pre začiatočníkov
Hlavný zdroj: https: // nmap.org / book / scan-methods-null-fin-xmas-scan.html
