Scansione di XMAS NMAP

Artemide Ricci
Scansione di XMAS NMAP

Questo tutorial spiega come eseguire la tecnica di scansione stealth di Natale usando NMAP.

Nmap Natale La scansione è stata considerata una scansione furtiva che analizza le risposte a Natale pacchetti per determinare la natura del dispositivo di risposta.

Ogni sistema operativo o dispositivo di rete risponde in modo diverso Natale pacchetti che rivelano informazioni locali, come OS (sistema operativo), stato di porto e altro ancora.

Attualmente, molti firewall e sistemi di rilevamento delle intrusioni possono rilevare Natale pacchetti e non è la migliore tecnica per eseguire una scansione invisibile. Eppure è estremamente utile capire come funziona.

Dopo aver letto questo tutorial, l'utente capirà come Natale, NULLO, E Pin Le scansioni funzionano. Tutte le istruzioni seguenti contengono schermate, rendendo facile per i lettori capire come vengono eseguiti i comandi NMAP.

Sulla scansione di Natale

La maggior parte dei firewall sono quelli che sono noti come firewall statali. Hanno la capacità di analizzare i pacchetti al volo, contrariamente al apolide Firewall, che confronta solo le regole di corrispondenza definite.

Blocchi di firewall normalmente senza stato Syn pezzi o intestazioni dai pacchetti TCP se inviati senza Ack bit. La scansione di Natale consiste nel cancellare il Syn Intestazione dal pacchetto TCP e sostituendolo con Pin, PSH, E Urg bit (o intestazioni), bypassing the firewall.

In altre parole, le intestazioni dei pacchetti TCP corrispondono alle regole del firewall sono sostituite con le intestazioni non corrispondenti.

La scansione di Natale è una vecchia tecnica di scansione invisibile, ma attualmente non affidabile, rilevata dalla maggior parte dei firewall e misure anti-intrusione. Tuttavia, è riproducibile e altamente educativo per conoscere la struttura TCP.

In articoli precedenti come il nostro tutorial di base NMAP, sono stati descritti sei stati portuali NMAP sei possibili stati.

Quando ci riferiamo al Natale Scansione, ci sono solo tre possibili stati di porta:

  • Aperto | filtrato: NMAP non può rilevare se la porta è aperta o filtrata. Anche se la porta è aperta, la scansione di XMAS lo segnalerà come aperto | filtrato. Succede quando non viene ricevuta alcuna risposta (anche dopo le ritrasmissioni).
  • Chiuso: NMAP rileva che la porta è chiusa; Succede quando la risposta è un pacchetto TCP.
  • Filtrato: NMAP rileva un firewall che filtra le porte scansionate; Succede quando la risposta è un errore irrancabile ICMP (tipo 3, codice 1, 2, 3, 9, 10 o 13). Sulla base degli standard RFC NMAP o della scansione XMAS è in grado di interpretare lo stato di porta.

Come si può comprendere dall'elenco precedente, la scansione di Natale, proprio come NULLO E Pin scansioni, non riesco a distinguere tra porte aperte e filtrate.

Se il bersaglio non rifiuta espressamente la connessione e lascia cadere il pacchetto senza rispondere, senza una risposta al rifiuto, il Natale la scansione non può essere sicura che la porta sia aperta o filtrata.

Quando non vi è alcuna risposta apparente da un firewall, le porte possono essere definite come aperto | filtrato.

L'utente può implementare flag invasivi per distinguere tra porte aperte e filtrate, ma non ha senso combinarle con una scansione invisibile come Natale.

Nota: Oggi, in pratica, è probabile che tutti gli obiettivi vengano rilevati come chiusi o filtrati dalla tecnica di Natale obsoleta.

Eseguire una scansione di Natale con NMAP

La sintassi per eseguire una scansione di XMAS con NMAP è la seguente in cui il -SX Flag indica a NMAP di avviare una scansione di Natale, -T controlla il modello di temporizzazione (spiegato di seguito) e -v istruisce la verbosità.

sudo nmap -sx -t -v

L'esempio pratico seguente mostra una scansione di Natale contro il router 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -v

I modelli di temporizzazione (-t) definiscono il livello di aggressività, che vanno dai tipi di scansione più lenti a quelli più veloci.

Modelli di temporizzazione

MODELLO BANDIERA Funzioni
Paranoico -T0 Estremamente lento, utile per bypassare gli ID
Subdolo -T1 Slow, utile anche per bypass IDS (sistemi di rilevamento delle intrusioni)
Educato -T2 Neutro
Normale -T3 Modalità di default
Aggressivo -T4 Scansione veloce
Pazzo -T5 Più veloce

Scansioni null e pin con NMAP

I tipi di scansione null e pin si applicano la stessa tecnica e sono anche utili contro i firewall apolidi.

Mentre la scansione di Natale cancella il Syn flag o bit dal pacchetto TCP e lo sostituisce con Pin, PSH, E Urg intestazioni o bandiere, la scansione nulla cancella il bit syn o l'intestazione senza sostituirlo. Rimuove solo il Syn Bit (bloccato dai firewall) dal pacchetto TCP.

La scansione della pinna cancella il file Syn intestazione e usa un file Pin uno.

La seguente sintassi appartiene a una scansione di pinna specificata con -sf bandiera. Dove <Modello> deve essere sostituito con uno dei livelli descritti nella tabella precedente e <Bersaglio> Con l'obiettivo reale:

sudo nmap -sf -t -v

Nell'esempio pratico di seguito, l'utente lancia una pinna contro l'host 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -v

Nel prossimo esempio, la scansione nulla viene istruita con il -Sn bandiera.

sudo nmap -sn -t2 192.168.0.103 -v

Tutte queste tecniche hanno sfruttato la stessa regola RFC per apprendere uno stato portuale secondo la risposta.

La scansione Syn Stealth

Altre tecniche di scansione invisibile, come le scansioni SYN, interrompono la comunicazione prima che venga stabilito, impedendo ai firewall di registrarsi l'interazione o reagire prima di una scansione.

IL Syn Scansione, un altro metodo di scansione furtivo, è implementato con il -ss Flag, come mostrato di seguito:

Questo tipo di scansione è profondamente spiegato nel nostro articolo NMAP Stealth Scan.

Fin, psh e bit urg

Le scansioni di Natale e pinne usano i seguenti bit:

  • PSH: I buffer TCP consentono il trasferimento dei dati quando si invia più di un segmento con la dimensione massima. Se il buffer non è pieno, il flag psh (push) gli consente di inviarlo comunque riempiendo l'intestazione o istruendo TCP a inviare pacchetti. Attraverso questo flag, l'applicazione che genera traffico informa che i dati devono essere inviati immediatamente e la destinazione viene informata che i dati devono essere inviati immediatamente all'applicazione.
  • Urg: Questo flag informa che segmenti specifici sono urgenti e devono essere prioritari. Quando il flag è abilitato, il ricevitore leggerà un segmento di 16 bit nell'intestazione. Questo segmento indica i dati urgenti dal primo byte. Attualmente, questa bandiera è quasi inutilizzata.
  • Fin: I pacchetti RST sono stati spiegati nel tutorial sopra menzionato (Scansione invisibile NMAP). Contrariamente ai pacchetti RST, ai pacchetti di pinne, anziché informare sulla terminazione della connessione, lo richiede dall'host interagente e attendi per ottenere una conferma per terminare la connessione.

Regole iptables contro le scansioni di Natale

Proprio oggi, tutti i firewall sono protetti contro le scansioni di Natale, NULL e FIN. Ma le regole del firewall contro tale attività sono utili per comprendere come i pacchetti vengono affrontati dai firewall.

iptables -a input -p tcp - -tcp -flags pin, urg, psh psh, urg, psh -j drop
iptables -a input -p tcp - -tcp -flags All -j drop
iptables -a input -p tcp - -tcp -flags tutto nessuno -j goccia
iptables -a input -p tcp - -tcp -flags syn, rst syn, rst -j drop

Conclusione

Mentre la scansione del Natale non è nuova e la maggior parte dei sistemi di difesa è in grado di rilevarla, diventando una tecnica obsoleta contro obiettivi ben protetti, è un ottimo modo per introdurre segmenti TCP insoliti come PSH e URG e comprendere il modo in cui NMAP Analizza i pacchetti per ottenere conclusioni sugli obiettivi.

Più di un metodo di attacco, questa scansione è utile per testare il tuo sistema di rilevamento del firewall o di intrusioni. Le regole iptables precedentemente menzionate dovrebbero essere sufficienti per fermare tali attacchi da host remoti. Questa scansione è molto simile alle scansioni null e pins sia nel modo in cui lavorano e bassa efficacia contro obiettivi protetti.

Come puoi vedere, le scansioni di Natale possono essere lanciate da qualsiasi utente indipendentemente dal livello di conoscenza. Comprenderli è abbastanza facile per chiunque sia presentato al networking. Eppure è probabile che fallisca come ogni exploit per qualsiasi antico buco di sicurezza.

Spero che tu abbia trovato questo articolo utile per comprendere le scansioni di Natale con NMAP. Continua a seguire il suggerimento di Linux per ulteriori suggerimenti e aggiornamenti su Linux, networking e sicurezza.

c affilato
Qual è la differenza tra classe e oggetto in C#
Una classe è un modello o un modello che definisce le caratteristiche e i comportamenti di un partic...
Nick Marini
Golang
Cos'è il pacchetto di test Golang?
Il pacchetto di test Golang contiene diversi strumenti e funzioni che rendono più facile testare, de...
Sarita Negri
PHP
Cos'è un'interfaccia in PHP orientato agli oggetti
Le interfacce definiscono un insieme standard di azioni che varie classi possono utilizzare per cost...
Sig. Valdo Marchetti
Pitone
Python Stringio
Dr. Folco Leone
Pitone
Python scrivi stringa su file
Cristyn De Santis
Sqlite
Come utilizzare l'app Web SQLite Viewer
Sig. Valdo Marchetti
html
Come utilizzare la proprietà CSS Flex-Grow?
Sarita Negri
JavaScript
Come funziona Event OnClick in JavaScript
Artemide Ricci
html
Come utilizzare la proprietà Mouseevent Pagey?
Felicia Giuliani
Oracle Linux
Quali dovrebbero essere le specifiche minime del sistema per Oracle Linux?
Dante Palumbo
Powershell
Puoi spiegare la funzionalità del comando Get-Location di PowerShell?
Domiziano Conte
AWS
Come EC2 è diverso da Elastic Beanstalk?
Dr. Folco Leone
Sqlite
Come scaricare e installare strumenti SQLite?
Nestore Caruso