Nmap Ziemassvētku skenēšana tika uzskatīta par slepenu skenēšanu, kas analizē atbildes uz Ziemassvētku paketēm, lai noteiktu atbildes ierīces raksturu. Katra operētājsistēma vai tīkla ierīce atšķirīgi reaģē uz Ziemassvētku paketēm, atklājot vietējo informāciju, piemēram, OS (operētājsistēma), ostas stāvokli un daudz ko citu. Pašlaik daudzi ugunsmūri un ielaušanās noteikšanas sistēma var atklāt Ziemassvētku paketes, un tā nav labākā metode slepenas skenēšanas veikšanai, tomēr ir ārkārtīgi noderīgi saprast, kā tā darbojas.
Pēdējā rakstā par Nmap Stealth Scan tika paskaidrots, kā tiek izveidoti TCP un SYN savienojumi (jāizlasa, ja jums tas nav zināms), bet paketes BEIGAS , PA un URG ir īpaši aktuāli Ziemassvētkiem, jo paketes bez SYN, RST vai ALAS atvasinājumi savienojuma atiestatīšanā (RST), ja ports ir aizvērts, un nereaģē, ja ports ir atvērts. Pirms šādu pakešu neesamības skenēšanai pietiek ar FIN, PSH un URG kombinācijām.
FIN, PSH un URG paketes:
PSH: TCP buferi ļauj pārsūtīt datus, ja sūtāt vairāk nekā segmentu ar maksimālo lielumu. Ja buferis nav pilns, karogs PSH (PUSH) ļauj to nosūtīt, aizpildot galveni vai uzdodot TCP nosūtīt paketes. Izmantojot šo karodziņu, lietojumprogramma, kas ģenerē trafiku, informē, ka dati ir jānosūta nekavējoties, un galamērķa informācija ir nekavējoties jānosūta lietojumprogrammai.
URG: Šis karogs informē, ka konkrēti segmenti ir steidzami, un tiem ir jāpiešķir prioritāte, ja karogs ir iespējots, uztvērējs nolasīs 16 bitu segmentu galvenē, šis segments norāda uz steidzamajiem datiem no pirmā baita. Pašlaik šis karogs ir gandrīz neizmantots.
BEIGAS: RST paketes tika izskaidrotas iepriekš minētajā apmācībā ( Nmap Stealth Scan ), pretēji RST paketēm, FIN paketes, nevis informēšana par savienojuma pārtraukšanu, to pieprasa no mijiedarbojošās saimniekdatora un gaida, līdz tiek saņemts apstiprinājums savienojuma pārtraukšanai.
Ostas valstis
Atvērt | filtrēts: Nmap nevar noteikt, vai ports ir atvērts vai filtrēts, pat ja ports ir atvērts, Ziemassvētku skenēšana ziņos par to kā atvērtu | filtrētu, tas notiek, ja netiek saņemta atbilde (pat pēc atkārtotas nosūtīšanas).
Slēgts: Nmap nosaka, ka ports ir aizvērts, tas notiek, ja atbilde ir TCP RST pakete.
Filtrēts: Nmap nosaka ugunsmūri, kas filtrē skenētos portus, tas notiek, ja atbilde ir ICMP nepieejama kļūda (3. tips, kods 1, 2, 3, 9, 10 vai 13). Pamatojoties uz RFC standartiem, Nmap vai Ziemassvētku skenēšana spēj interpretēt porta stāvokli
Ziemassvētku skenēšana, tāpat kā NULL un FIN skenēšana nevar atšķirt slēgtu un filtrētu portu, kā minēts iepriekš, ir pakešu atbilde, kas ir ICMP kļūda. Nmap atzīmē to kā filtrētu, bet, kā paskaidrots Nmap grāmatā, ja zonde ir aizliegts bez atbildes, tas šķiet atvērts, tāpēc Nmap parāda atvērtās ostas un noteiktas filtrētās ostas kā atvērtas | filtrētas
Kāda aizsardzība var atklāt Ziemassvētku skenēšanu?: Bezmūra ugunsmūri pret statiskiem ugunsmūriem:
Bezvalstnieki vai nevalstiski ugunsmūri veic politiku saskaņā ar datplūsmas avotu, galamērķi, ostām un līdzīgiem noteikumiem, ignorējot TCP steku vai protokola datagrammu. Pretēji bezmūra ugunsmūriem, statiskiem ugunsmūriem, tā var analizēt paketes, kas atklāj viltotas paketes, MTU (maksimālās pārraides vienības) manipulācijas un citas metodes, ko nodrošina Nmap un cita skenēšanas programmatūra, lai apietu ugunsmūra drošību. Tā kā Ziemassvētku uzbrukums ir manipulācija ar pakotnēm, statiski ugunsmūri to, visticamāk, atklās, bet bezmūrniecības ugunsmūri ne, iekļūšanas noteikšanas sistēma arī atklās šo uzbrukumu, ja tā ir pareizi konfigurēta.
Laika veidnes:
Paranoīds: -T0, ārkārtīgi lēns, noderīgs, lai apietu IDS (ielaušanās noteikšanas sistēmas)
Maldīgs: -T1, ļoti lēns, noderīgs arī, lai apietu IDS (ielaušanās noteikšanas sistēmas)
Pieklājīgi: -T2, neitrāls.
Normāli: -T3, šis ir noklusējuma režīms.
Agresīvs: -T4, ātra skenēšana.
Ārprāts: -T5, ātrāk nekā agresīvās skenēšanas tehnika.
Nmap Xmas Scan piemēri
Šis piemērs parāda pieklājīgu Ziemassvētku skenēšanu pret LinuxHint.
nmap -X -T2linuxhint.com 
Agresīvas Ziemassvētku skenēšanas piemērs pret LinuxHint.com
nmap -X -T4linuxhint.com 
Uzliekot karogu -V versiju noteikšanai varat iegūt vairāk informācijas par konkrētiem portiem un atšķirt filtrētos un filtrētos portus, taču, lai gan Ziemassvētki tika uzskatīti par slepenas skenēšanas tehniku, šis papildinājums var padarīt skenēšanu redzamāku ugunsmūriem vai IDS.
nmap -V -X -T4linux.lat 
Iptables noteikumi, lai bloķētu Ziemassvētku skenēšanu
Šādi iptables noteikumi var pasargāt jūs no Ziemassvētku skenēšanas:
iptables-TOIEVADE-lpptcp--tcp-karogiFIN, URG, PSH FIN, URG, PSH-jDROPiptables-TOIEVADE-lpptcp--tcp-karogiVISI VISI-jDROP
iptables-TOIEVADE-lpptcp--tcp-karogiVISU NEVIENU-jDROP
iptables-TOIEVADE-lpptcp--tcp-karogiSYN, RST SYN, RST-jDROP
Secinājums
Lai gan Ziemassvētku skenēšana nav jauna un lielākā daļa aizsardzības sistēmu spēj noteikt, ka tā kļūst par novecojušu tehniku pret labi aizsargātiem mērķiem, tā ir lielisks veids, kā ievadīt retāk sastopamus TCP segmentus, piemēram, PSH un URG, un izprast veidu, kādā Nmap analizē paketes izdarīt secinājumus par mērķiem. Šī skenēšana ir vairāk nekā uzbrukuma metode, lai pārbaudītu ugunsmūri vai ielaušanās noteikšanas sistēmu. Iepriekš minētajiem iptables noteikumiem vajadzētu pietikt, lai apturētu šādus uzbrukumus no attāliem saimniekiem. Šī skenēšana ir ļoti līdzīga NULL un FIN skenēšanai gan to darbības veidā, gan zema efektivitāte pret aizsargātajiem mērķiem.
Es ceru, ka šis raksts jums šķita noderīgs kā ievads Ziemassvētku skenēšanā, izmantojot Nmap. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux, tīklu un drošību.
Saistītie raksti:
- Kā meklēt pakalpojumus un ievainojamības, izmantojot Nmap
- Izmantojot nmap skriptus: paņemiet Nmap reklāmkarogu
- nmap tīkla skenēšana
- nmap ping sweep
- nmap karogi un to darbība
- OpenVAS Ubuntu instalēšana un apmācība
- Nexpose ievainojamības skenera instalēšana Debian/Ubuntu
- Iptables iesācējiem
Galvenais avots: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html