Der Nmap Xmas-Scan wurde als heimlicher Scan angesehen, der Antworten auf Weihnachtspakete analysiert, um die Art des antwortenden Geräts zu bestimmen. Jedes Betriebssystem oder Netzwerkgerät reagiert auf unterschiedliche Weise auf Weihnachtspakete, die lokale Informationen wie Betriebssystem (Betriebssystem), Portstatus und mehr preisgeben. Derzeit können viele Firewalls und Intrusion Detection-Systeme Weihnachtspakete erkennen und es ist nicht die beste Technik, um einen Stealth-Scan durchzuführen, aber es ist äußerst nützlich, zu verstehen, wie es funktioniert.
Im letzten Artikel zu Nmap Stealth Scan wurde erklärt, wie TCP- und SYN-Verbindungen aufgebaut werden (müssen gelesen werden, wenn Ihnen unbekannt) aber die Pakete ENDE , PA und URG sind besonders für Weihnachten relevant, da Pakete ohne SYN, RST oder ACH Derivate in einem Connection Reset (RST), wenn der Port geschlossen ist und keine Reaktion, wenn der Port geöffnet ist. Bevor solche Pakete fehlen, reichen Kombinationen von FIN, PSH und URG aus, um den Scan durchzuführen.
FIN-, PSH- und URG-Pakete:
PSH: TCP-Puffer ermöglichen die Datenübertragung, wenn Sie mehr als ein Segment mit maximaler Größe senden. Wenn der Puffer nicht voll ist, erlaubt das Flag PSH (PUSH), es trotzdem zu senden, indem es den Header füllt oder TCP anweist, Pakete zu senden. Durch dieses Flag teilt die Anwendung, die den Verkehr generiert, mit, dass die Daten sofort gesendet werden müssen, das Ziel wird informiert, dass die Daten sofort an die Anwendung gesendet werden müssen.
URG: Dieses Flag informiert, dass bestimmte Segmente dringend sind und priorisiert werden müssen. Wenn das Flag aktiviert ist, liest der Empfänger ein 16-Bit-Segment im Header, dieses Segment zeigt die dringenden Daten aus dem ersten Byte an. Derzeit ist diese Flagge fast unbenutzt.
ENDE: RST-Pakete wurden im oben erwähnten Tutorial erklärt ( Nmap-Stealth-Scan ).
Hafenstaaten
Öffnen|gefiltert: Nmap kann nicht erkennen, ob der Port offen oder gefiltert ist, selbst wenn der Port offen ist, wird der Xmas-Scan ihn als offen|gefiltert melden, es passiert, wenn keine Antwort empfangen wird (auch nach erneuten Übertragungen).
Abgeschlossen: Nmap erkennt, dass der Port geschlossen ist. Dies geschieht, wenn die Antwort ein TCP-RST-Paket ist.
Gefiltert: Nmap erkennt eine Firewall, die die gescannten Ports filtert. Dies geschieht, wenn die Antwort ein ICMP-Unerreichbarkeitsfehler ist (Typ 3, Code 1, 2, 3, 9, 10 oder 13). Basierend auf den RFC-Standards ist Nmap oder der Xmas-Scan in der Lage, den Portstatus zu interpretieren
Der Xmas-Scan, genau wie der NULL- und FIN-Scan nicht zwischen einem geschlossenen und einem gefilterten Port unterscheiden kann, wie oben erwähnt, ist die Paketantwort ein ICMP-Fehler Nmap markiert ihn als gefiltert, aber wie im Nmap-Buch erklärt, wenn die Probe ist ohne Antwort gesperrt scheint es geöffnet zu sein, daher zeigt Nmap offene Ports und bestimmte gefilterte Ports als offen|gefiltert an
Welche Abwehrmaßnahmen können einen Xmas-Scan erkennen?: Stateless Firewalls vs Stateful Firewalls:
Zustandslose oder nicht zustandsorientierte Firewalls führen Richtlinien entsprechend der Verkehrsquelle, des Ziels, der Ports und ähnlicher Regeln durch und ignorieren dabei den TCP-Stack oder das Protokoll-Datagramm. Im Gegensatz zu Stateless-Firewalls und Stateful-Firewalls kann es Pakete analysieren, die gefälschte Pakete erkennen, MTU-Manipulation (Maximum Transmission Unit) und andere Techniken, die von Nmap und anderer Scan-Software bereitgestellt werden, um die Firewall-Sicherheit zu umgehen. Da der Xmas-Angriff eine Manipulation von Paketen ist, erkennen Stateful-Firewalls ihn wahrscheinlich, während Stateless-Firewalls dies nicht tun, wird das Intrusion Detection System auch diesen Angriff erkennen, wenn es richtig konfiguriert ist.
Timing-Vorlagen:
Paranoid: -T0, extrem langsam, nützlich um IDS (Intrusion Detection Systems) zu umgehen
Hinterhältig: -T1, sehr langsam, auch nützlich um IDS (Intrusion Detection Systems) zu umgehen
Höflich: -T2, neutral.
Normal: -T3, dies ist der Standardmodus.
Aggressiv: -T4, schneller Scan.
Verrückt: -T5, schneller als die aggressive Scan-Technik.
Beispiele für Nmap Xmas Scan
Das folgende Beispiel zeigt einen Polite Xmas-Scan für LinuxHint.
nmap -sX -T2linuxhint.com 
Beispiel für einen aggressiven Xmas-Scan gegen LinuxHint.com
nmap -sX -T4linuxhint.com 
Durch Anbringen der Flagge -sV Für die Versionserkennung können Sie mehr Informationen zu bestimmten Ports erhalten und zwischen gefilterten und gefilterten Ports unterscheiden, aber während Weihnachten als Stealth-Scan-Technik galt, kann dieser Zusatz den Scan für Firewalls oder IDS sichtbarer machen.
nmap -sV -sX -T4linux.lat 
Iptables-Regeln zum Blockieren des Xmas-Scans
Die folgenden iptables-Regeln können Sie vor einem Xmas-Scan schützen:
iptables-ZUEINGANG-Ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-JTROPFENiptables-ZUEINGANG-Ptcp--tcp-flagsALLES ALLES-JTROPFEN
iptables-ZUEINGANG-Ptcp--tcp-flagsALLE KEINE-JTROPFEN
iptables-ZUEINGANG-Ptcp--tcp-flagsSYN,RST SYN,RST-JTROPFEN
Abschluss
Obwohl der Xmas-Scan nicht neu ist und die meisten Abwehrsysteme in der Lage sind, zu erkennen, dass er gegen gut geschützte Ziele zu einer veralteten Technik wird, ist er eine großartige Möglichkeit, ungewöhnliche TCP-Segmente wie PSH und URG kennenzulernen und die Art und Weise zu verstehen, wie Nmap Pakete analysiert Schlussfolgerungen zu Zielen ziehen. Dieser Scan ist nicht nur eine Angriffsmethode, sondern auch nützlich, um Ihre Firewall oder Ihr Intrusion Detection System zu testen. Die oben genannten iptables-Regeln sollten ausreichen, um solche Angriffe von entfernten Hosts zu stoppen. Dieser Scan ist NULL- und FIN-Scans sowohl in der Funktionsweise als auch in der geringen Effektivität gegen geschützte Ziele sehr ähnlich.
Ich hoffe, Sie fanden diesen Artikel als Einführung in den Xmas-Scan mit Nmap nützlich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux, Netzwerken und Sicherheit.
In Verbindung stehende Artikel:
- So scannen Sie mit Nmap nach Diensten und Schwachstellen
- Verwenden von nmap-Skripten: Nmap-Bannergrab
- nmap-Netzwerkscannen
- nmap-Ping-Sweep
- nmap-Flags und was sie tun
- OpenVAS Ubuntu Installation und Tutorial
- Installieren von Nexpose Vulnerability Scanner unter Debian/Ubuntu
- Iptables für Anfänger
Hauptquelle: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html