Imbasan Nmap Xmas

Imbasan Nmap Xmas dianggap sebagai imbasan tersembunyi yang menganalisis tindak balas terhadap paket Xmas untuk menentukan sifat alat balas. Setiap sistem operasi atau peranti rangkaian bertindak balas dengan cara yang berbeza terhadap paket Xmas yang menunjukkan maklumat tempatan seperti OS (Sistem Operasi), keadaan port dan banyak lagi. Pada masa ini banyak firewall dan Sistem Pengesanan Pencerobohan dapat mengesan paket Xmas dan ini bukan teknik terbaik untuk melakukan scan siluman, namun sangat berguna untuk memahami bagaimana ia berfungsi.

Dalam artikel terakhir mengenai Nmap Stealth Scan dijelaskan bagaimana sambungan TCP dan SYN terjalin (mesti dibaca jika tidak diketahui oleh anda) tetapi paket TAMAT , PA dan URG sangat relevan untuk Xmas kerana paket tanpa SYN, RST atau MALANGNYA derivatif dalam sambungan semula (RST) jika port ditutup dan tidak ada tindak balas jika port terbuka. Sebelum ketiadaan kombinasi paket FIN, PSH dan URG sudah cukup untuk menjalankan imbasan.

Paket FIN, PSH dan URG:

PSH: Penyangga TCP membenarkan pemindahan data semasa anda menghantar lebih daripada segmen dengan ukuran maksimum. Sekiranya penyangga tidak penuh bendera PSH (PUSH) memungkinkan untuk menghantarnya dengan mengisi tajuk atau memerintahkan TCP untuk menghantar paket. Melalui bendera ini aplikasi yang menghasilkan lalu lintas memberitahu bahawa data mesti dihantar segera, destinasi yang dimaklumkan data harus segera dihantar ke aplikasi.

URG: Bendera ini memaklumkan segmen tertentu mendesak dan mesti diutamakan, apabila bendera diaktifkan, penerima akan membaca segmen 16 bit di tajuk, segmen ini menunjukkan data mendesak dari bait pertama. Pada masa ini bendera ini hampir tidak digunakan.

TAMAT: Paket RST dijelaskan dalam tutorial yang disebutkan di atas ( Imbasan Steam Nmap ), bertentangan dengan paket RST, paket FIN daripada memaklumkan mengenai penamatan sambungan memintanya dari host yang berinteraksi dan menunggu sehingga mendapat pengesahan untuk menghentikan sambungan.

Pelabuhan menyatakan

Buka | ditapis: Nmap tidak dapat mengesan sama ada port terbuka atau disaring, walaupun port dibuka, imbasan Xmas akan melaporkannya sebagai terbuka | disaring, ia berlaku apabila tiada respons diterima (walaupun selepas penghantaran semula).

Tutup: Nmap mengesan port ditutup, ia berlaku apabila respons adalah paket TCP RST.

Disaring: Nmap mengesan firewall yang menapis port yang diimbas, ia berlaku apabila tindak balas adalah ralat ICMP yang tidak dapat dicapai (jenis 3, kod 1, 2, 3, 9, 10, atau 13). Berdasarkan standard RFC Nmap atau imbasan Xmas mampu mentafsirkan keadaan pelabuhan

Imbasan Xmas, sama seperti imbasan NULL dan FIN tidak dapat membezakan antara port tertutup dan disaring, seperti yang disebutkan di atas, adalah respons paket adalah kesalahan ICMP Nmap menandainya sebagai disaring, tetapi seperti yang dijelaskan pada buku Nmap jika penyelidikan dilarang tanpa respons nampaknya dibuka, oleh itu Nmap menunjukkan port terbuka dan port yang disaring tertentu sebagai terbuka | ditapis

Pertahanan apa yang dapat mengesan imbasan Xmas ?: Firewall tanpa statik vs firewall Stateful:

Firewall tanpa status atau tidak bernegara menjalankan dasar mengikut sumber lalu lintas, destinasi, pelabuhan dan peraturan serupa yang mengabaikan TCP stack atau protokol datagram. Berbeza dengan firewall tanpa status, firewall Stateful, ia dapat menganalisis paket yang mengesan paket palsu, manipulasi MTU (Unit transmisi maksimum) dan teknik lain yang disediakan oleh Nmap dan perisian pengimbasan lain untuk memintas keselamatan firewall. Oleh kerana serangan Xmas adalah manipulasi paket firewall bernegara cenderung untuk mengesannya sementara firewall tanpa status tidak, Sistem Pengesanan Pencerobohan juga akan mengesan serangan ini jika dikonfigurasi dengan betul.

Templat masa:

Paranoid: -T0, sangat perlahan, berguna untuk memintas IDS (Sistem Pengesanan Pencerobohan)
Tersembunyi: -T1, sangat perlahan, juga berguna untuk memintas IDS (Sistem Pengesanan Pencerobohan)
Sopan: -T2, berkecuali.
Biasa: -T3, ini adalah mod lalai.
Agresif: -T4, imbasan pantas.
Gila: -T5, lebih pantas daripada teknik imbasan Agresif.

Contoh Nmap Xmas Scan

Contoh berikut menunjukkan imbasan Xmas yang sopan terhadap LinuxHint.

Contoh Imbasan Xmas Agresif terhadap LinuxHint.com

Dengan mengibarkan bendera -sV untuk pengesanan versi, anda boleh mendapatkan lebih banyak maklumat mengenai port tertentu dan membezakan antara port yang disaring dan yang disaring, tetapi sementara Xmas dianggap sebagai teknik scan siluman, penambahan ini dapat menjadikan imbasan lebih kelihatan kepada firewall atau IDS.

Peraturan Iptables untuk menyekat imbasan Xmas

Peraturan iptables berikut dapat melindungi anda dari imbasan Xmas:

Kesimpulannya

Walaupun imbasan Xmas bukan baru dan kebanyakan sistem pertahanan mampu mengesannya menjadi teknik usang terhadap sasaran yang dilindungi dengan baik, ini adalah kaedah yang baik untuk memperkenalkan segmen TCP yang tidak biasa seperti PSH dan URG dan untuk memahami cara Nmap menganalisis paket dapatkan kesimpulan mengenai sasaran. Lebih daripada kaedah serangan, imbasan ini berguna untuk menguji firewall atau Sistem Pengesanan Pencerobohan anda. Peraturan iptables yang disebutkan di atas harus cukup untuk menghentikan serangan seperti itu dari host jarak jauh. Imbasan ini sangat serupa dengan imbasan NULL dan FIN baik dalam cara mereka berfungsi dan keberkesanan rendah terhadap sasaran yang dilindungi.

Saya harap artikel ini berguna sebagai pengenalan kepada imbasan Xmas menggunakan Nmap. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux, rangkaian dan keselamatan.

Artikel berkaitan:

• Cara mengimbas perkhidmatan dan kerentanan dengan Nmap
• Menggunakan skrip nmap: Ambil sepanduk Nmap
• pengimbasan rangkaian nmap
• sapu ping nmap
• bendera nmap dan apa yang mereka lakukan
• Pemasangan dan Tutorial Ubuntu OpenVAS
• Memasang Pengimbas Kerentanan Nexpose pada Debian / Ubuntu
• Iptables untuk pemula

Sumber utama: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html