Ang pag-scan ng Nmap Xmas ay itinuturing na isang tagong pag-scan na pinag-aaralan ang mga tugon sa mga Xmas packet upang matukoy ang likas na katangian ng tumutugon na aparato. Ang bawat operating system o network device ay tumutugon sa iba't ibang paraan sa mga Xmas packet na nagsisiwalat ng lokal na impormasyon tulad ng OS (Operating System), estado ng port at marami pa. Sa kasalukuyan maraming mga firewall at Intrusion Detection System ang makakakita ng mga packet ng Xmas at hindi ito ang pinakamahusay na pamamaraan upang magsagawa ng isang stealth scan, ngunit lubos na kapaki-pakinabang upang maunawaan kung paano ito gumagana.
Sa huling artikulo sa Nmap Stealth Scan ay ipinaliwanag kung paano itinatag ang mga koneksyon sa TCP at SYN (dapat basahin kung hindi mo alam) ngunit ang mga packet WAKAS , PA at URG lalo na nauugnay para sa Pasko dahil ang mga packet na walang SYN, RST o NAKU derivatives sa isang koneksyon reset (RST) kung ang port ay sarado at walang tugon kung ang port ay bukas. Bago ang kawalan ng naturang mga kumbinasyon ng packet ng FIN, ang PSH at URG ay sapat na upang isagawa ang pag-scan.
Mga pack ng FIN, PSH at URG:
PSH: Pinapayagan ng mga buffer ng TCP ang paglipat ng data kapag nagpadala ka ng higit sa isang segment na may sukat na maximm. Kung hindi puno ang buffer ay pinapayagan ng flag PSH (PUSH) na ipadala ito pa rin sa pamamagitan ng pagpuno sa header o pag-utos sa TCP na magpadala ng mga packet. Sa pamamagitan ng watawat na ito ang application na bumubuo ng trapiko ay nagpapaalam sa data na dapat maipadala kaagad, ang patutunguhan ay may kaalamang data ay dapat na maipadala kaagad sa application.
URG: Ipinapaalam ng watawat na ito ang mga tukoy na segment na kagyat at dapat unahin, kapag pinagana ang watawat tatanggap ng tatanggap ang isang 16 bits na segment sa header, ipinapahiwatig ng segment na ito ang agarang data mula sa unang byte. Sa kasalukuyan ang watawat na ito ay halos hindi ginagamit.
WAKAS: Ang mga packet ng RST ay ipinaliwanag sa tutorial na nabanggit sa itaas ( Nmap Stealth Scan ), salungat sa mga packet ng RST, mga FIN packet kaysa sa pagpapaalam sa pagwawakas ng koneksyon ay hiniling ito mula sa nakikipag-ugnay na host at naghihintay hanggang sa makakuha ng kumpirmasyon upang wakasan ang koneksyon.
Estado ng Port
Buksan | nai-filter: Hindi matukoy ng Nmap kung ang port ay bukas o nasala, kahit na buksan ang port ang Xmas scan ay iuulat ito bilang bukas | nai-filter, nangyayari ito kapag walang natanggap na tugon (kahit na pagkatapos ng mga muling pagpapadala).
Sarado: Nakita ng Nmap na sarado ang port, nangyayari ito kapag ang tugon ay isang TCP RST packet.
Nasala: Nakita ng Nmap ang isang firewall na sinasala ang mga na-scan na port, nangyayari ito kapag ang sagot ay hindi maaabot na error sa ICMP (uri 3, code 1, 2, 3, 9, 10, o 13). Batay sa mga pamantayan ng RFC na Nmap o ang Xmas scan ay may kakayahang bigyang kahulugan ang estado ng port
Ang Xmas scan, tulad ng pag-scan ng NULL at FIN na hindi makilala ang pagitan ng isang sarado at na-filter na port, tulad ng nabanggit sa itaas, ang packet na tugon ay isang error sa ICMP Nmap na nai-tag ito bilang na-filter, ngunit tulad ng ipinaliwanag sa libro ng Nmap kung ang pagsisiyasat ay ipinagbawal nang walang tugon tila binuksan ito, samakatuwid ang Nmap ay nagpapakita ng mga bukas na port at ilang mga nai-filter na port bilang bukas | nasala
Anong mga panlaban ang maaaring makakita ng pag-scan ng Xmas?: Walang mga firewall na walang estado vs Mahusay na mga firewall:
Ang mga walang estado o hindi estado na firewall ay nagsasagawa ng mga patakaran ayon sa mapagkukunan ng trapiko, patutunguhan, daungan at mga katulad na patakaran na hindi pinapansin ang TCP stack o Protocol datagram. Taliwas sa mga Firearless na walang firewall, Mga stateful firewall, maaari nitong pag-aralan ang mga packet na nakakakita ng mga pekeng packet, pagmamanipula ng MTU (Maximum transmission Unit) at iba pang mga diskarte na ibinigay ng Nmap at iba pang software ng pag-scan upang ma-bypass ang seguridad ng firewall. Dahil ang pag-atake ng Xmas ay isang pagmamanipula ng mga packet na stateful firewall ay malamang na makita ito habang ang mga walang mga firewall na walang estado, ang Intrusion Detection System ay makakakita rin ng atake na ito kung maayos na na-configure.
Mga template ng oras:
Paranoid: -T0, labis na mabagal, kapaki-pakinabang upang i-bypass ang IDS (Sistema ng Pagtuklas ng Intrusion)
Sneaky: -T1, napakabagal, kapaki-pakinabang din upang i-bypass ang IDS (Intrusion Detection Systems)
Magalang: -T2, walang kinikilingan.
Normal: -T3, ito ang default mode.
Mapusok: -T4, mabilis na pag-scan.
Nababaliw: -T5, mas mabilis kaysa sa agresibong diskarteng pag-scan.
Mga halimbawa ng Nmap Xmas Scan
Ang sumusunod na halimbawa ay nagpapakita ng isang magalang na pag-scan ng Xmas laban sa LinuxHint.
nmap -sX -T2linuxhint.com 
Halimbawa ng Aggressive Xmas Scan laban sa LinuxHint.com
nmap -sX -T4linuxhint.com 
Sa pamamagitan ng paglalapat ng watawat -sV para sa pagtuklas ng bersyon maaari kang makakuha ng karagdagang impormasyon sa mga tukoy na port at makilala ang pagitan ng mga na-filter at na-filter na port, ngunit habang ang Xmas ay itinuturing na isang stealth scan na diskarteng ang pagdaragdag na ito ay maaaring gawing mas nakikita ng pag-scan sa mga firewall o IDS.
nmap -sV -sX -T4linux.lat 
Mga panuntunan sa Iptables upang harangan ang Xmas scan
Ang mga sumusunod na panuntunan sa iptables ay maaaring maprotektahan ka mula sa isang Xmas scan:
mga iptable-TOINPUT-ptcp- tcp-flagsFIN, URG, PSH FIN, URG, PSH-jPATULOGmga iptable-TOINPUT-ptcp- tcp-flagsLAHAT NG LAHAT-jPATULOG
mga iptable-TOINPUT-ptcp- tcp-flagsLAHAT WALA-jPATULOG
mga iptable-TOINPUT-ptcp- tcp-flagsSYN, RST SYN, RST-jPATULOG
Konklusyon
Habang ang Xmas scan ay hindi bago at ang karamihan sa mga system ng pagtatanggol ay may kakayahang makita itong nagiging isang lipas na na diskarte laban sa mga protektadong mahusay na target na ito ay isang mahusay na paraan ng pagpapakilala sa mga hindi pangkaraniwang mga segment ng TCP tulad ng PSH at URG at upang maunawaan ang paraan kung saan pinag-aaralan ng Nmap ang mga packet. kumuha ng konklusyon sa mga target. Higit sa isang paraan ng pag-atake ang scan na ito ay kapaki-pakinabang upang subukan ang iyong firewall o Intrusion Detection System. Ang mga panuntunang iptable na nabanggit sa itaas ay dapat na sapat upang ihinto ang mga naturang pag-atake mula sa mga malalayong host. Ang pag-scan na ito ay halos kapareho sa pag-scan ng NULL at FIN pareho sa paraan kung saan gumagana ang mga ito at mababa ang bisa laban sa mga protektadong target.
Inaasahan kong nahanap mo ang artikulong ito na kapaki-pakinabang bilang isang pagpapakilala sa Xmas scan gamit ang Nmap. Patuloy na sundin ang LinuxHint para sa higit pang mga tip at pag-update sa Linux, networking at seguridad.
Mga nauugnay na artikulo:
- Paano mag-scan para sa mga serbisyo at kahinaan sa Nmap
- Paggamit ng mga script ng nmap: Nmap banner grab
- Pag-scan ng nmap network
- nmap ping walis
- mga flag ng nmap at kung ano ang ginagawa nila
- Pag-install at Tutorial ng OpenVAS Ubuntu
- Pag-install ng Nexpose Vulnerability Scanner sa Debian / Ubuntu
- Iptables para sa mga nagsisimula
Pangunahing pinagkukunan: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html