Nmap Xmas Scan

Nmap Xmas Scan



A varredura de Natal do Nmap foi considerada uma varredura furtiva que analisa as respostas aos pacotes de Natal para determinar a natureza do dispositivo de resposta. Cada sistema operacional ou dispositivo de rede responde de maneira diferente aos pacotes de Natal, revelando informações locais como SO (sistema operacional), estado da porta e muito mais. Atualmente, muitos firewalls e Sistema de Detecção de Intrusão podem detectar pacotes de Natal e não é a melhor técnica para realizar uma varredura furtiva, mas é extremamente útil para entender como funciona.

No último artigo sobre Nmap Stealth Scan foi explicado como as conexões TCP e SYN são estabelecidas (deve ler se for desconhecido para você), mas os pacotes FIM , PA e URG são especialmente relevantes para o Natal porque os pacotes sem SYN, RST ou ALAS derivados em uma reconfiguração de conexão (RST) se a porta estiver fechada e nenhuma resposta se a porta estiver aberta. Diante da ausência de tais combinações de pacotes de FIN, PSH e URG são suficientes para realizar a varredura.





Pacotes FIN, PSH e URG:

PSH: Os buffers TCP permitem a transferência de dados quando você envia mais de um segmento com tamanho máximo. Se o buffer não estiver cheio, o sinalizador PSH (PUSH) permite enviá-lo de qualquer maneira, preenchendo o cabeçalho ou instruindo o TCP a enviar pacotes. Através deste flag a aplicação geradora de tráfego informa que os dados devem ser enviados imediatamente, o destino é informado os dados devem ser enviados imediatamente para a aplicação.



URG: Este flag informa que segmentos específicos são urgentes e devem ser priorizados, quando o flag estiver habilitado o receptor irá ler um segmento de 16 bits no cabeçalho, este segmento indica os dados urgentes do primeiro byte. Atualmente, esta bandeira está quase sem uso.



FIM: Os pacotes RST foram explicados no tutorial mencionado acima ( Nmap Stealth Scan ), ao contrário dos pacotes RST, os pacotes FIN, em vez de informar sobre o encerramento da conexão, solicitam-no do host em interação e aguardam até obter uma confirmação para encerrar a conexão.



Estados do porto

Aberto | filtrado: O Nmap não consegue detectar se a porta está aberta ou filtrada, mesmo se a porta estiver aberta, a varredura de Natal irá reportá-la como aberta | filtrada, isso acontece quando nenhuma resposta é recebida (mesmo após retransmissões).

Fechadas: O Nmap detecta que a porta está fechada, isso acontece quando a resposta é um pacote TCP RST.



Filtrado: O Nmap detecta um firewall filtrando as portas escaneadas, isso acontece quando a resposta é erro ICMP inacessível (tipo 3, código 1, 2, 3, 9, 10 ou 13). Com base nos padrões RFC, o Nmap ou a varredura de Natal é capaz de interpretar o estado da porta

A varredura de Natal, assim como a varredura NULL e FIN não pode distinguir entre uma porta fechada e uma porta filtrada, como mencionado acima, a resposta do pacote é um erro ICMP O Nmap marca-o como filtrado, mas conforme explicado no livro do Nmap se a sonda for banido sem resposta parece aberto, portanto o Nmap mostra portas abertas e certas portas filtradas como abertas | filtradas

Quais defesas podem detectar uma varredura de Natal ?: Firewalls sem estado versus firewalls com estado:

Firewalls sem estado ou sem estado executam políticas de acordo com a origem do tráfego, destino, portas e regras semelhantes, ignorando a pilha TCP ou datagrama do protocolo. Ao contrário de firewalls sem estado, firewalls com estado, ele pode analisar pacotes detectando pacotes forjados, manipulação de MTU (unidade máxima de transmissão) e outras técnicas fornecidas pelo Nmap e outro software de varredura para contornar a segurança do firewall. Como o ataque de Natal é uma manipulação de pacotes, os firewalls com estado provavelmente o detectam, enquanto os firewalls sem estado não o são, o Sistema de Detecção de Intrusão também detectará esse ataque se configurado corretamente.

Modelos de tempo:

Paranóico: -T0, extremamente lento, útil para contornar IDS (Sistemas de detecção de intrusão)
Sorrateiro: -T1, muito lento, também útil para contornar IDS (Sistemas de detecção de intrusão)
Educado: -T2, neutro.
Normal: -T3, este é o modo padrão.
Agressivo: -T4, varredura rápida.
Insano: -T5, mais rápido do que a técnica de varredura agressiva.

Exemplos de Nmap Xmas Scan

O exemplo a seguir mostra uma varredura de Natal educada em LinuxHint.

nmap -sX -T2linuxhint.com

Exemplo de verificação agressiva de Natal em LinuxHint.com

nmap -sX -T4linuxhint.com

Aplicando a bandeira -sV para detecção de versão, você pode obter mais informações sobre portas específicas e distinguir entre portas filtradas e filtradas, mas embora o Natal seja considerado uma técnica de varredura furtiva, essa adição pode tornar a varredura mais visível para firewalls ou IDS.

nmap -sV -sX -T4linux.lat

Regras de iptables para bloquear a varredura de Natal

As seguintes regras de iptables podem protegê-lo de uma varredura de Natal:

iptables-PARAENTRADA-ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jDERRUBAR
iptables-PARAENTRADA-ptcp--tcp-flagsTUDO TUDO-jDERRUBAR
iptables-PARAENTRADA-ptcp--tcp-flagsTODOS NENHUM-jDERRUBAR
iptables-PARAENTRADA-ptcp--tcp-flagsSYN, RST SYN, RST-jDERRUBAR

Conclusão

Embora a varredura de Natal não seja nova e a maioria dos sistemas de defesa sejam capazes de detectá-la se tornando uma técnica obsoleta contra alvos bem protegidos, é uma ótima forma de introdução a segmentos incomuns de TCP como PSH e URG e para entender a maneira como o Nmap analisa pacotes tirar conclusões sobre os alvos. Mais do que um método de ataque, esta varredura é útil para testar seu firewall ou Sistema de Detecção de Intrusão. As regras de iptables mencionadas acima devem ser suficientes para impedir tais ataques de hosts remotos. Esta varredura é muito semelhante às varreduras NULL e FIN, tanto na forma como funcionam, quanto na baixa efetividade contra alvos protegidos.

Espero que você tenha achado este artigo útil como uma introdução à digitalização de Natal usando o Nmap. Continue seguindo LinuxHint para obter mais dicas e atualizações sobre Linux, rede e segurança.

Artigos relacionados:

  • Como fazer a varredura de serviços e vulnerabilidades com o Nmap
  • Usando scripts nmap: captura de banner Nmap
  • digitalização de rede nmap
  • nmap ping sweep
  • sinalizadores nmap e o que eles fazem
  • Instalação e tutorial do OpenVAS Ubuntu
  • Instalando o Nexpose Vulnerability Scanner no Debian / Ubuntu
  • Iptables para iniciantes

Principal fonte: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Categoria

Publicações Populares

LWC – Serviço de Navegação

Como criar um arquivo com texto no Linux

Como faço para remover um objeto de uma matriz com JavaScript?

Como encontrar logaritmos naturais no MATLAB usando a função log()

Como compactar arquivos no Linux

Função de Aplicação NumPy

Como compartilhar a tela no Discord Mobile?

Como conecto meu EC2 ao Load Balancer?

Como calcular o tamanho de um capacitor

Como otimizar seus scripts Python para melhor desempenho

Como criar divs sobrepostos com CSS

Como recuperar documentos do Word não salvos no Windows 10?

Como usar animações e transições de várias etapas?

Como marcar seus recursos da AWS para uma organização melhor?

O que é Character.toUpperCase() em Java?

Como usar o operador ponto asterisco no MATLAB

Como copiar o conteúdo do arquivo para a área de transferência a partir da linha de comando no Linux Desktop – Linux Mint

O que é a previsão da Amazon?

Como excluir Stash?

Como atualizar o Node.js no Raspberry Pi