Nmap

Nmap Weihnachtsscan

Nmap Weihnachtsscan

Einführung in den Weihnachtsscan

Der Nmap Xmas-Scan wurde als Stealthy-Scan angesehen, der Antworten auf Weihnachtspakete analysiert, um die Art des antwortenden Geräts zu bestimmen. Jedes Betriebssystem oder Netzwerkgerät reagiert auf unterschiedliche Weise auf Weihnachtspakete, die lokale Informationen wie Betriebssystem (Betriebssystem), Portstatus und mehr preisgeben. Derzeit können viele Firewalls und Intrusion Detection-Systeme Weihnachtspakete erkennen und es ist nicht die beste Technik, um einen Stealth-Scan durchzuführen, aber es ist äußerst nützlich zu verstehen, wie es funktioniert.

Im letzten Artikel zu Nmap Stealth Scan wurde erklärt, wie TCP- und SYN-Verbindungen aufgebaut werden (müssen gelesen werden, wenn Ihnen unbekannt) aber die Pakete FLOSSE, PSH und URG sind besonders für Weihnachten relevant, da Pakete ohne SYN, RST oder ACK Derivate in einem Verbindungsreset (RST), wenn der Port geschlossen ist und keine Reaktion, wenn der Port geöffnet ist. Bevor solche Pakete fehlen, reichen Kombinationen von FIN, PSH und URG aus, um den Scan durchzuführen.

FIN-, PSH- und URG-Pakete:

PSH: TCP-Puffer ermöglichen die Datenübertragung, wenn Sie mehr als ein Segment mit maximaler Größe senden. Wenn der Puffer nicht voll ist, erlaubt das Flag PSH (PUSH), es trotzdem zu senden, indem es den Header füllt oder TCP anweist, Pakete zu senden. Durch dieses Flag teilt die Anwendung, die den Verkehr generiert, mit, dass die Daten sofort gesendet werden müssen, das Ziel wird informiert, dass die Daten sofort an die Anwendung gesendet werden müssen.

URG: Dieses Flag informiert, dass bestimmte Segmente dringend sind und priorisiert werden müssen. Wenn das Flag aktiviert ist, liest der Empfänger ein 16-Bit-Segment im Header, dieses Segment zeigt die dringenden Daten ab dem ersten Byte an. Derzeit ist diese Flagge fast unbenutzt.

FLOSSE: RST-Pakete wurden im oben erwähnten Tutorial erklärt (Nmap Stealth-Scan), im Gegensatz zu RST-Paketen, FIN-Pakete, anstatt über die Beendigung der Verbindung zu informieren, fordern sie vom interagierenden Host an und warten, bis eine Bestätigung zum Beenden der Verbindung erhalten wird.

Hafenstaaten

Öffnen|gefiltert: Nmap kann nicht erkennen, ob der Port offen oder gefiltert ist, selbst wenn der Port offen ist, wird der Xmas-Scan ihn als offen|gefiltert melden, es passiert, wenn keine Antwort empfangen wird (auch nach erneuten Übertragungen).

Geschlossen: Nmap erkennt, dass der Port geschlossen ist. Dies geschieht, wenn die Antwort ein TCP-RST-Paket ist.

Gefiltert: Nmap erkennt eine Firewall, die die gescannten Ports filtert. Dies geschieht, wenn die Antwort ein ICMP-Unerreichbarkeitsfehler ist (Typ 3, Code 1, 2, 3, 9, 10 oder 13). Basierend auf den RFC-Standards ist Nmap oder der Xmas-Scan in der Lage, den Portstatus zu interpretieren

Der Xmas-Scan, genau wie der NULL- und FIN-Scan nicht zwischen einem geschlossenen und einem gefilterten Port unterscheiden kann, wie oben erwähnt, ist die Paketantwort ein ICMP-Fehler Nmap markiert ihn als gefiltert, aber wie im Nmap-Buch erklärt, wenn die Probe ist ohne Antwort gesperrt scheint es geöffnet zu sein, daher zeigt Nmap offene Ports und bestimmte gefilterte Ports als offen|gefiltert an

Welche Abwehrmaßnahmen können einen Xmas-Scan erkennen??: Stateless Firewalls vs Stateful Firewalls:

Zustandslose oder nicht zustandsorientierte Firewalls führen Richtlinien entsprechend der Verkehrsquelle, des Ziels, der Ports und ähnlicher Regeln durch und ignorieren dabei den TCP-Stack oder das Protokoll-Datagramm. Im Gegensatz zu Stateless-Firewalls, Stateful-Firewalls kann es Pakete analysieren, die gefälschte Pakete erkennen, MTU-Manipulation (Maximum Transmission Unit) und andere Techniken, die von Nmap und anderer Scan-Software bereitgestellt werden, um die Firewall-Sicherheit zu umgehen. Da der Weihnachtsangriff eine Manipulation von Paketen ist, erkennen Stateful Firewalls ihn wahrscheinlich, während Stateless Firewalls dies nicht tun, erkennt das Intrusion Detection System auch diesen Angriff, wenn es richtig konfiguriert ist.

Timing-Vorlagen:

Paranoid: -T0, extrem langsam, nützlich um IDS (Intrusion Detection Systems) zu umgehen
Hinterhältig: -T1, sehr langsam, auch nützlich um IDS (Intrusion Detection Systems) zu umgehen
Höflich: -T2, neutral.
Normal: -T3, dies ist der Standardmodus.
Aggressiv: -T4, schneller Scan.
Wahnsinnig: -T5, schneller als die aggressive Scan-Technik.

Beispiele für Nmap Xmas Scan

Das folgende Beispiel zeigt einen Polite Xmas Scan gegen LinuxHint.

nmap -sX -T2 linuxhint.com

Beispiel für einen aggressiven Xmas-Scan gegen LinuxHinweis.com

nmap -sX -T4 linuxhint.com

Durch Anbringen der Flagge -sV Für die Versionserkennung können Sie mehr Informationen zu bestimmten Ports erhalten und zwischen gefilterten und gefilterten Ports unterscheiden, aber während Weihnachten als Stealth-Scan-Technik galt, kann diese Ergänzung den Scan für Firewalls oder IDS sichtbarer machen.

nmap -sV -sX -T4 Linux.lat

Iptables-Regeln zum Blockieren des Xmas-Scans

Die folgenden iptables-Regeln können Sie vor einem Xmas-Scan schützen:

iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALLE ALLE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALLE KEINE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

Fazit

Obwohl der Xmas-Scan nicht neu ist und die meisten Abwehrsysteme in der Lage sind, zu erkennen, dass er gegen gut geschützte Ziele zu einer veralteten Technik wird, ist er eine großartige Möglichkeit, ungewöhnliche TCP-Segmente wie PSH und URG kennenzulernen und die Art und Weise zu verstehen, wie Nmap Pakete analysiert Schlussfolgerungen zu Zielen ziehen. Dieser Scan ist mehr als nur eine Angriffsmethode, um Ihre Firewall oder Ihr Intrusion Detection System zu testen. Die oben genannten iptables-Regeln sollten ausreichen, um solche Angriffe von entfernten Hosts zu stoppen. Dieser Scan ist den NULL- und FIN-Scans sehr ähnlich, sowohl in der Funktionsweise als auch in der geringen Effektivität gegen geschützte Ziele.

Ich hoffe, Sie fanden diesen Artikel nützlich als Einführung in den Xmas-Scan mit Nmap useful. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux, Netzwerken und Sicherheit.

Zum Thema passende Artikel:

Hauptquelle: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Spiele SuperTuxKart für Linux
SuperTuxKart für Linux
SuperTuxKart ist ein großartiger Titel, der entwickelt wurde, um Ihnen das Mario Kart-Erlebnis kostenlos auf Ihrem Linux-System zu bieten. Es ist ziem...
Spiele Battle for Wesnoth-Tutorial
Battle for Wesnoth-Tutorial
The Battle for Wesnoth ist eines der beliebtesten Open-Source-Strategiespiele, die Sie derzeit spielen können. Dieses Spiel befindet sich nicht nur se...
Spiele 0 A.D. Lernprogramm
0 A.D. Lernprogramm
Von den vielen Strategiespielen da draußen, 0 A.D. schafft es, sich trotz Open Source als umfassender Titel und sehr tiefgehendes, taktisches Spiel ab...