Scansione di XMAS NMAP

Artemide Ricci
Scansione di XMAS NMAP

Questo tutorial spiega come eseguire la tecnica di scansione stealth di Natale usando NMAP.

Nmap Natale La scansione è stata considerata una scansione furtiva che analizza le risposte a Natale pacchetti per determinare la natura del dispositivo di risposta.

Ogni sistema operativo o dispositivo di rete risponde in modo diverso Natale pacchetti che rivelano informazioni locali, come OS (sistema operativo), stato di porto e altro ancora.

Attualmente, molti firewall e sistemi di rilevamento delle intrusioni possono rilevare Natale pacchetti e non è la migliore tecnica per eseguire una scansione invisibile. Eppure è estremamente utile capire come funziona.

Dopo aver letto questo tutorial, l'utente capirà come Natale, NULLO, E Pin Le scansioni funzionano. Tutte le istruzioni seguenti contengono schermate, rendendo facile per i lettori capire come vengono eseguiti i comandi NMAP.

Sulla scansione di Natale

La maggior parte dei firewall sono quelli che sono noti come firewall statali. Hanno la capacità di analizzare i pacchetti al volo, contrariamente al apolide Firewall, che confronta solo le regole di corrispondenza definite.

Blocchi di firewall normalmente senza stato Syn pezzi o intestazioni dai pacchetti TCP se inviati senza Ack bit. La scansione di Natale consiste nel cancellare il Syn Intestazione dal pacchetto TCP e sostituendolo con Pin, PSH, E Urg bit (o intestazioni), bypassing the firewall.

In altre parole, le intestazioni dei pacchetti TCP corrispondono alle regole del firewall sono sostituite con le intestazioni non corrispondenti.

La scansione di Natale è una vecchia tecnica di scansione invisibile, ma attualmente non affidabile, rilevata dalla maggior parte dei firewall e misure anti-intrusione. Tuttavia, è riproducibile e altamente educativo per conoscere la struttura TCP.

In articoli precedenti come il nostro tutorial di base NMAP, sono stati descritti sei stati portuali NMAP sei possibili stati.

Quando ci riferiamo al Natale Scansione, ci sono solo tre possibili stati di porta:

  • Aperto | filtrato: NMAP non può rilevare se la porta è aperta o filtrata. Anche se la porta è aperta, la scansione di XMAS lo segnalerà come aperto | filtrato. Succede quando non viene ricevuta alcuna risposta (anche dopo le ritrasmissioni).
  • Chiuso: NMAP rileva che la porta è chiusa; Succede quando la risposta è un pacchetto TCP.
  • Filtrato: NMAP rileva un firewall che filtra le porte scansionate; Succede quando la risposta è un errore irrancabile ICMP (tipo 3, codice 1, 2, 3, 9, 10 o 13). Sulla base degli standard RFC NMAP o della scansione XMAS è in grado di interpretare lo stato di porta.

Come si può comprendere dall'elenco precedente, la scansione di Natale, proprio come NULLO E Pin scansioni, non riesco a distinguere tra porte aperte e filtrate.

Se il bersaglio non rifiuta espressamente la connessione e lascia cadere il pacchetto senza rispondere, senza una risposta al rifiuto, il Natale la scansione non può essere sicura che la porta sia aperta o filtrata.

Quando non vi è alcuna risposta apparente da un firewall, le porte possono essere definite come aperto | filtrato.

L'utente può implementare flag invasivi per distinguere tra porte aperte e filtrate, ma non ha senso combinarle con una scansione invisibile come Natale.

Nota: Oggi, in pratica, è probabile che tutti gli obiettivi vengano rilevati come chiusi o filtrati dalla tecnica di Natale obsoleta.

Eseguire una scansione di Natale con NMAP

La sintassi per eseguire una scansione di XMAS con NMAP è la seguente in cui il -SX Flag indica a NMAP di avviare una scansione di Natale, -T controlla il modello di temporizzazione (spiegato di seguito) e -v istruisce la verbosità.

sudo nmap -sx -t -v

L'esempio pratico seguente mostra una scansione di Natale contro il router 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -v

I modelli di temporizzazione (-t) definiscono il livello di aggressività, che vanno dai tipi di scansione più lenti a quelli più veloci.

Modelli di temporizzazione

MODELLO BANDIERA Funzioni
Paranoico -T0 Estremamente lento, utile per bypassare gli ID
Subdolo -T1 Slow, utile anche per bypass IDS (sistemi di rilevamento delle intrusioni)
Educato -T2 Neutro
Normale -T3 Modalità di default
Aggressivo -T4 Scansione veloce
Pazzo -T5 Più veloce

Scansioni null e pin con NMAP

I tipi di scansione null e pin si applicano la stessa tecnica e sono anche utili contro i firewall apolidi.

Mentre la scansione di Natale cancella il Syn flag o bit dal pacchetto TCP e lo sostituisce con Pin, PSH, E Urg intestazioni o bandiere, la scansione nulla cancella il bit syn o l'intestazione senza sostituirlo. Rimuove solo il Syn Bit (bloccato dai firewall) dal pacchetto TCP.

La scansione della pinna cancella il file Syn intestazione e usa un file Pin uno.

La seguente sintassi appartiene a una scansione di pinna specificata con -sf bandiera. Dove <Modello> deve essere sostituito con uno dei livelli descritti nella tabella precedente e <Bersaglio> Con l'obiettivo reale:

sudo nmap -sf -t -v

Nell'esempio pratico di seguito, l'utente lancia una pinna contro l'host 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -v

Nel prossimo esempio, la scansione nulla viene istruita con il -Sn bandiera.

sudo nmap -sn -t2 192.168.0.103 -v

Tutte queste tecniche hanno sfruttato la stessa regola RFC per apprendere uno stato portuale secondo la risposta.

La scansione Syn Stealth

Altre tecniche di scansione invisibile, come le scansioni SYN, interrompono la comunicazione prima che venga stabilito, impedendo ai firewall di registrarsi l'interazione o reagire prima di una scansione.

IL Syn Scansione, un altro metodo di scansione furtivo, è implementato con il -ss Flag, come mostrato di seguito:

Questo tipo di scansione è profondamente spiegato nel nostro articolo NMAP Stealth Scan.

Fin, psh e bit urg

Le scansioni di Natale e pinne usano i seguenti bit:

  • PSH: I buffer TCP consentono il trasferimento dei dati quando si invia più di un segmento con la dimensione massima. Se il buffer non è pieno, il flag psh (push) gli consente di inviarlo comunque riempiendo l'intestazione o istruendo TCP a inviare pacchetti. Attraverso questo flag, l'applicazione che genera traffico informa che i dati devono essere inviati immediatamente e la destinazione viene informata che i dati devono essere inviati immediatamente all'applicazione.
  • Urg: Questo flag informa che segmenti specifici sono urgenti e devono essere prioritari. Quando il flag è abilitato, il ricevitore leggerà un segmento di 16 bit nell'intestazione. Questo segmento indica i dati urgenti dal primo byte. Attualmente, questa bandiera è quasi inutilizzata.
  • Fin: I pacchetti RST sono stati spiegati nel tutorial sopra menzionato (Scansione invisibile NMAP). Contrariamente ai pacchetti RST, ai pacchetti di pinne, anziché informare sulla terminazione della connessione, lo richiede dall'host interagente e attendi per ottenere una conferma per terminare la connessione.

Regole iptables contro le scansioni di Natale

Proprio oggi, tutti i firewall sono protetti contro le scansioni di Natale, NULL e FIN. Ma le regole del firewall contro tale attività sono utili per comprendere come i pacchetti vengono affrontati dai firewall.

iptables -a input -p tcp - -tcp -flags pin, urg, psh psh, urg, psh -j drop
iptables -a input -p tcp - -tcp -flags All -j drop
iptables -a input -p tcp - -tcp -flags tutto nessuno -j goccia
iptables -a input -p tcp - -tcp -flags syn, rst syn, rst -j drop

Conclusione

Mentre la scansione del Natale non è nuova e la maggior parte dei sistemi di difesa è in grado di rilevarla, diventando una tecnica obsoleta contro obiettivi ben protetti, è un ottimo modo per introdurre segmenti TCP insoliti come PSH e URG e comprendere il modo in cui NMAP Analizza i pacchetti per ottenere conclusioni sugli obiettivi.

Più di un metodo di attacco, questa scansione è utile per testare il tuo sistema di rilevamento del firewall o di intrusioni. Le regole iptables precedentemente menzionate dovrebbero essere sufficienti per fermare tali attacchi da host remoti. Questa scansione è molto simile alle scansioni null e pins sia nel modo in cui lavorano e bassa efficacia contro obiettivi protetti.

Come puoi vedere, le scansioni di Natale possono essere lanciate da qualsiasi utente indipendentemente dal livello di conoscenza. Comprenderli è abbastanza facile per chiunque sia presentato al networking. Eppure è probabile che fallisca come ogni exploit per qualsiasi antico buco di sicurezza.

Spero che tu abbia trovato questo articolo utile per comprendere le scansioni di Natale con NMAP. Continua a seguire il suggerimento di Linux per ulteriori suggerimenti e aggiornamenti su Linux, networking e sicurezza.

C ++
Come utilizzare i riferimenti di funzione in C ++
I riferimenti alla funzione, rispetto alle chiamate di funzione convenzionali, consentono ai program...
Nick Marini
Programmazione C
Come ordinare gli array con Qsort in C
Qsort è una potente funzione nella programmazione C per l'ordinamento di array di qualsiasi tipo. Se...
Domiziano Conte
Programmazione C
Come rimuovere lo spazio bianco dalle stringhe con Strtrim nella programmazione C
La funzione strtrim () rimuove i caratteri di spazi bianchi dall'inizio e dalla fine di una stringa....
Osea Martini
Pitone
Python chiama il metodo statico all'interno della classe
Osea Martini
C ++
Array di strutture in C ++
Dr. Evita Damico
Docker
Come vengono definiti i volumi in Docker composi yaml?
Nunzia Martini
Golang
Come convertire la stringa in tipo intero in Golang?
Felicia Giuliani
Oracle Linux
Quali dovrebbero essere le specifiche minime del sistema per Oracle Linux?
Dante Palumbo
AWS
Un confronto tra CloudTrail e Guardduty
Dante Palumbo
JavaScript
Come controllare la versione dattiloscritto
Sig. Valdo Marchetti
Oracle Database
Come installare Oracle Instant Client in Linux?
Piererminio De luca
Dattiloscritto
Cos'è TypeScript e come usarlo?
Domiziano Conte
Powershell
Come utilizzare il comando set-variabile in PowerShell
Nunzia Martini