NMAP XMAS -skanning
Denne opplæringen forklarer hvordan du utfører Xmas Stealth Scan -teknikken ved hjelp av NMAP.
Nmap Jul Skanning ble ansett som en stealthy skanning som analyserer svar på Jul pakker for å bestemme arten av den svarende enheten.
Hvert operativsystem eller nettverksenhet svarer på en annen måte å Jul Pakker som avslører lokal informasjon, for eksempel OS (operativsystem), portstat og mer.
Foreløpig kan mange brannmurer og inntrengingsdeteksjonssystemer oppdage Jul pakker, og det er ikke den beste teknikken å utføre en stealth -skanning. Likevel er det ekstremt nyttig å forstå hvordan det fungerer.
Etter å ha lest denne opplæringen, vil brukeren forstå hvordan jul, NULL, og Fin skanner arbeid. Alle instruksjoner nedenfor inneholder skjermbilder, noe som gjør det enkelt for leserne å forstå hvordan NMAP -kommandoer blir utført.
Om juleskanningen
De fleste brannmurer er det som er kjent som statlige brannmurer. De har muligheten til å analysere pakker på farten, i strid med statsløs Brannmur, som bare sammenligner definerte matchende regler.
Normalt statsløse brannmurer blokkerer Syn biter eller overskrifter fra TCP -pakker når de sendes uten Ack biter. Xmas -skanningen består av å fjerne Syn header fra TCP -pakken og erstatte den med Fin, Psh, og Hastighet biter (eller overskrifter), og omgå brannmuren.
Med andre ord, TCP -pakkeoverskrifter som samsvarer med brannmurregler, erstattes med overskrifter som ikke samsvarer med regler.
Xmas-skanningen er en gammel stealth-skanningsteknikk, men foreløpig ikke pålitelig, oppdaget av de fleste brannmurer og anti-inntrengende tiltak. Likevel er det reproduserbart og svært lærerik å lære om TCP -strukturen.
I tidligere artikler som NMAP Basics Tutorial, ble NMAP seks mulige portstater beskrevet.
Når vi refererer til Jul Skanning, det er bare tre mulige havnestater:
- Åpne | Filtrert: NMAP kan ikke oppdage om porten er åpen eller filtrert. Selv om porten er åpen, vil juleskanningen rapportere den som åpen | filtrert. Det skjer når ingen svar mottas (selv etter overføring).
- Lukket: NMAP oppdager porten er lukket; Det skjer når responsen er en TCP RST -pakke.
- Filtrert: NMAP oppdager en brannmur som filtrerer de skannede portene; Det skjer når responsen er ICMP uoppnåelig feil (type 3, kode 1, 2, 3, 9, 10 eller 13). Basert på RFC -standardene er NMAP eller juleskanningen i stand til å tolke porttilstanden.
Som det kan forstås fra forrige liste, er juleskanning, akkurat som NULL og Fin skanninger, kan ikke skille mellom åpne og filtrerte porter.
Hvis målet ikke uttrykkelig nekter forbindelsen og bare slipper pakken uten å svare, uten avvisningssvar, er det Jul Skanning kan ikke være sikker på om porten er åpen eller filtrert.
Når det ikke er noen åpenbar respons fra en brannmur, kan porter defineres som Åpne | Filtrert.
Brukeren kan implementere invasive flagg for å skille mellom åpne og filtrerte porter, men det er ingen mening i å kombinere dem med en stealth -skanning som jul.
Merk: I dag, i praksis, vil alle mål sannsynligvis bli oppdaget som lukket eller filtrert av den utdaterte juleteknikken.
Utføre en juleskanning med NMAP
Syntaksen for å utføre en juleskanning med NMAP er følgende der -sx Flagget instruerer NMAP om å lansere en juleskanning, -T kontrollerer timingmalen (forklart nedenfor), og -v instruerer verbositet.
sudo nmap -sx -t-v
Det praktiske eksemplet nedenfor viser en juleskanning mot ruteren 192.168.0.1.
sudo nmap -sx -t2 192.168.0.1 -v
Timing Templates (-T) definerer aggressivitetsnivået, alt fra de tregeste til de raskeste skannetypene.
Tidsmaler
| MAL | FLAGG | Funksjoner |
| Paranoid | -T0 | Ekstremt treg, nyttig for å omgå ID -er |
| Sneaky | -T1 | Sakte, også nyttig for å omgå ID -er (inntrengingsdeteksjonssystemer) |
| Høflig | -T2 | Nøytral |
| Normal | -T3 | Standardmodus |
| Aggressiv | -T4 | Rask skanning |
| Sinnsyk | -T5 | Raskere |
Null og fin skanninger med nmap
Null- og finskanningstyper bruker samme teknikk og er også nyttige mot statsløse brannmurer.
Mens juleskanningen tømmer Syn flagg eller bit fra TCP -pakken og erstatter den med Fin, Psh, og Hastighet overskrifter eller flagg, null -skanningen tømmer synbiten eller overskriften uten å erstatte den. Det fjerner bare Syn bit (blokkert av brannmurer) fra TCP -pakken.
Finn -skanningen tømmer Syn header og bruker en Fin en.
Følgende syntaks tilhører en FIN -skanning spesifisert med -sf flagg. Hvor <Mal> må erstattes med et av nivåene beskrevet i forrige tabell og <Mål> med det faktiske målet:
sudo nmap -sf -t-v
I det praktiske eksemplet nedenfor lanserer brukeren en finskanning mot verten 192.168.0.1:
sudo nmap -sf -t3 192.168.0.1 -v
I neste eksempel blir nullskanningen instruert med -sn flagg.
sudo nmap -sn -t2 192.168.0.103 -V
Alle disse teknikkene utnyttet den samme RFC -regelen for å lære en porttilstand i henhold til svaret.
Syn Stealth -skanningen
Andre stealth -skanningsteknikker, som SYN -skanninger, avbryter kommunikasjonen før den blir etablert, og forhindrer brannmurer i å logge samspillet eller reagere før en skanning.
De Syn skanning, en annen stealthy skannemetode, implementeres med -ss flagg, som vist nedenfor:
Denne skannetypen er dypt forklart i vår artikkel NMAP stealth -skanning.
Fin, PSH og Urgbits
Xmas og Fin -skanninger bruker følgende biter:
- Psh: TCP -buffere tillater dataoverføring når du sender mer enn et segment med maksimal størrelse. Hvis bufferen ikke er full, lar flagget PSH (push) den sende den uansett ved å fylle overskriften eller instruere TCP om å sende pakker. Gjennom dette flagget informerer applikasjonen som genererer trafikk at dataene må sendes umiddelbart, og destinasjonen er informerte data må sendes umiddelbart til søknaden.
- : Dette flagget informerer om spesifikke segmenter er presserende og må prioriteres. Når flagget er aktivert, vil mottakeren lese et 16 bits segment i overskriften. Dette segmentet indikerer de presserende dataene fra første byte. For øyeblikket er dette flagget nesten ubrukt.
- Fin: RST -pakker ble forklart i opplæringen nevnt ovenfor (NMAP Stealth Scan). I motsetning til RST -pakker, ber FIN -pakker, i stedet for å informere om tilkoblingsavslutning, det fra den samvirkende verten og vente til å få en bekreftelse på å avslutte tilkoblingen.
Iptables regler mot juleskanninger
Akkurat i dag er alle brannmurer beskyttet mot jul, null og fin skanninger. Men brannmurregler mot slik aktivitet er nyttige for å forstå hvordan pakker blir kontaktet av brannmurer.
iptables -a input -p tcp - -tcp -flags finn, urg, psh fin, urg, psh -j dråpe
iptables -a input -p tcp - -tcp -flagg alle alle -j dråpe
iptables -a input -p tcp - -tcp -flagg alle ingen -j slipp
iptables -a input -p tcp - -tcp -flags syn, rst syn, rst -j dråpe
Konklusjon
Mens juleskanningen ikke er ny, og de fleste forsvarssystemer er i stand til å oppdage det, og bli en foreldet teknikk mot godt beskyttede mål, er det en flott måte å introdusere uvanlige TCP-segmenter som PSH og Urg og forstå måten NMAP analyserer pakker for å få konklusjoner på mål.
Mer enn en angrepsmetode, er denne skanningen nyttig for å teste brannmuren eller inntrengingsdeteksjonssystemet. Iptables -reglene som tidligere er nevnt, bør være nok til å stoppe slike angrep fra eksterne verter. Denne skanningen ligner veldig på null- og FIN -skanninger både på den måten de fungerer og lav effektivitet mot beskyttede mål.
Som du kan se, kan juleskanninger lanseres av enhver bruker uavhengig av kunnskapsnivået. Å forstå dem er ganske enkelt for alle som er introdusert for nettverk. Likevel vil det sannsynligvis mislykkes som enhver utnyttelse for ethvert gammelt sikkerhetshull.
Jeg håper du fant denne artikkelen nyttig for å forstå juleskanninger med NMAP. Fortsett å følge Linux -hint for flere tips og oppdateringer om Linux, nettverk og sikkerhet.