Nmap Xmas scan je veljal za prikrito skeniranje, ki analizira odzive na božične pakete, da ugotovi naravo odzivne naprave. Vsak operacijski sistem ali omrežna naprava se na različen način odziva na božične pakete, ki razkrivajo lokalne podatke, kot so OS (operacijski sistem), stanje vrat in drugo. Trenutno lahko številni požarni zidovi in sistem za odkrivanje vdorov zaznajo božične pakete in to ni najboljša tehnika za izvajanje prikritega skeniranja, vendar je zelo koristno razumeti, kako deluje.
V zadnjem članku o skeniranju Nmap Stealth je bilo pojasnjeno, kako se vzpostavljata povezavi TCP in SYN (prebrati morate, če vam ni znano), vendar paketi KONEC , PA in URG so še posebej pomembni za božič, ker paketi brez SYN, RST ali ALAS izvedenke v ponastavitvi povezave (RST), če so vrata zaprta, in brez odziva, če so vrata odprta. Pred odsotnostjo takih paketov zadostujejo kombinacije FIN, PSH in URG za skeniranje.
Paketi FIN, PSH in URG:
PSH: Medpomnilniki TCP omogočajo prenos podatkov, ko pošljete več kot segment z največjo velikostjo. Če medpomnilnik ni poln, ga zastavica PSH (PUSH) vseeno lahko pošlje tako, da napolni glavo ali naroči TCP, naj pošlje pakete. Preko te zastavice aplikacija, ki ustvarja promet, obvešča, da je treba podatke poslati takoj, cilj je obveščen, podatke je treba nemudoma poslati aplikaciji.
URG: Ta zastavica obvešča, da so določeni segmenti nujni in jim je treba dati prednost. Ko je zastavica omogočena, bo sprejemnik v glavi prebral 16 -bitni segment, ta segment označuje nujne podatke iz prvega bajta. Trenutno je ta zastava skoraj neuporabljena.
KONEC: Paketi RST so bili pojasnjeni v zgoraj omenjeni vadnici ( Nmap Stealth Scan ), v nasprotju s paketi RST pa paketi FIN namesto obveščanja o prekinitvi povezave to zahtevajo od interakcijskega gostitelja in čakajo, dokler ne dobijo potrditve za prekinitev povezave.
Pristaniške države
Odprto | filtrirano: Nmap ne more zaznati, ali so vrata odprta ali filtrirana, tudi če so vrata odprta, bo božično skeniranje poročalo, da je odprto | filtrirano, se zgodi, ko ni odgovora (tudi po ponovnem prenosu).
Zaprto: Nmap zazna, da so vrata zaprta, to se zgodi, ko je odziv paket TCP RST.
Filtrirano: Nmap zazna požarni zid, ki filtrira optično prebrana vrata, kar se zgodi, ko je odgovor ICMP nedosegljiva napaka (tip 3, koda 1, 2, 3, 9, 10 ali 13). Na podlagi standardov RFC Nmap ali Xmas scan lahko interpretira stanje vrat
Božično skeniranje, tako kot skeniranje NULL in FIN ne more razlikovati med zaprtimi in filtriranimi vrati, kot je omenjeno zgoraj, je odziv paketa napaka ICMP Nmap ga označi kot filtriranega, vendar kot je razloženo v knjigi Nmap, če je sonda prepovedano brez odziva, se zdi odprto, zato Nmap prikazuje odprta vrata in nekatera filtrirana vrata kot odprta | filtrirana
Katere obrambe lahko zaznajo božično skeniranje?: Požarni zidovi brez državnosti proti Požarni zidovi z državnim statusom:
Požarni zidovi brez državnosti ali brez državnega stanja izvajajo politike glede na vir prometa, cilj, vrata in podobna pravila, pri čemer ne upoštevajo sklada TCP ali podatkovnega programa protokola. V nasprotju s požarnimi zidovi brez držav, z državnimi požarnimi zidovi lahko analizira pakete, ki zaznajo ponarejene pakete, manipulacijo MTU (enota največjega prenosa) in druge tehnike, ki jih ponuja Nmap in druga programska oprema za skeniranje, da bi obšli varnost požarnega zidu. Ker je božični napad manipulacija paketov, ga bodo požarni zidovi s stanjem verjetno zaznali, medtem ko požarni zidovi brez državnosti ne, bo sistem za zaznavanje vdorov ta napad odkril tudi, če je pravilno konfiguriran.
Predloge časa:
Paranoično: -T0, izredno počasen, uporaben za izogibanje IDS (sistemi za odkrivanje vdorov)
Potuhnjeno: -T1, zelo počasen, uporaben tudi za obvoz IDS (Intrusion Detection Systems)
Vljudno: -T2, nevtralno.
Običajno: -T3, to je privzeti način.
Agresivno: -T4, hitro skeniranje.
Noro: -T5, hitrejši od tehnike agresivnega skeniranja.
Primeri Nmap Xmas Scan
Naslednji primer prikazuje vljuden božični pregled proti LinuxHintu.
nmap -sX -T2linuxhint.com 
Primer agresivnega božičnega skeniranja proti LinuxHint.com
nmap -sX -T4linuxhint.com 
Z uporabo zastave -sV za odkrivanje različic lahko dobite več informacij o določenih vratih in ločite med filtriranimi in filtriranimi vrati, čeprav je božič veljal za tehniko prikritega skeniranja, lahko ta dodatek naredi skeniranje bolj vidno za požarne zidove ali IDS.
nmap -sV -sX -T4linux.lat 
Iptables pravila za blokiranje božičnega skeniranja
Naslednja pravila iptables vas lahko zaščitijo pred božičnim pregledom:
iptables-TOVHOD-strtcp--tcp-zastaviceFIN, URG, PSH FIN, URG, PSH-jDROPiptables-TOVHOD-strtcp--tcp-zastaviceVSE VSE-jDROP
iptables-TOVHOD-strtcp--tcp-zastaviceVSE NIČ-jDROP
iptables-TOVHOD-strtcp--tcp-zastaviceSYN, RST SYN, RST-jDROP
Zaključek
Čeprav božično skeniranje ni novo in ga večina obrambnih sistemov lahko zazna, da postaja zastarela tehnika proti dobro zaščitenim ciljem, je to odličen način za predstavitev občasnih segmentov TCP, kot sta PSH in URG, ter razumevanje načina, na katerega Nmap analizira pakete pridobite zaključke o ciljih. To skeniranje je bolj kot metoda napada uporabno za testiranje požarnega zidu ali sistema za zaznavanje vdorov. Zgoraj omenjena pravila iptables bi morala zadostovati za ustavitev takšnih napadov oddaljenih gostiteljev. To skeniranje je zelo podobno skeniranju NULL in FIN tako po načinu delovanja kot po nizki učinkovitosti pri zaščitenih tarčah.
Upam, da vam je bil ta članek koristen kot uvod v božično skeniranje z uporabo Nmap. Sledite LinuxHintu za več nasvetov in posodobitev glede Linuxa, omrežja in varnosti.
Povezani članki:
- Kako iskati storitve in ranljivosti z Nmapom
- Uporaba skriptov nmap: zajem pasice Nmap
- skeniranje omrežja nmap
- nmap ping sweep
- nmap zastavice in kaj počnejo
- Namestitev in vadnica za OpenVAS Ubuntu
- Namestitev Nexpose Skenerja ranljivosti na Debian/Ubuntu
- Iptables za začetnike
Glavni vir: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html