A varredura de Natal do Nmap foi considerada uma varredura furtiva que analisa as respostas aos pacotes de Natal para determinar a natureza do dispositivo de resposta. Cada sistema operacional ou dispositivo de rede responde de maneira diferente aos pacotes de Natal, revelando informações locais como SO (sistema operacional), estado da porta e muito mais. Atualmente, muitos firewalls e Sistema de Detecção de Intrusão podem detectar pacotes de Natal e não é a melhor técnica para realizar uma varredura furtiva, mas é extremamente útil para entender como funciona.
No último artigo sobre Nmap Stealth Scan foi explicado como as conexões TCP e SYN são estabelecidas (deve ler se for desconhecido para você), mas os pacotes FIM , PA e URG são especialmente relevantes para o Natal porque os pacotes sem SYN, RST ou ALAS derivados em uma reconfiguração de conexão (RST) se a porta estiver fechada e nenhuma resposta se a porta estiver aberta. Diante da ausência de tais combinações de pacotes de FIN, PSH e URG são suficientes para realizar a varredura.
Pacotes FIN, PSH e URG:
PSH: Os buffers TCP permitem a transferência de dados quando você envia mais de um segmento com tamanho máximo. Se o buffer não estiver cheio, o sinalizador PSH (PUSH) permite enviá-lo de qualquer maneira, preenchendo o cabeçalho ou instruindo o TCP a enviar pacotes. Através deste flag a aplicação geradora de tráfego informa que os dados devem ser enviados imediatamente, o destino é informado os dados devem ser enviados imediatamente para a aplicação.
URG: Este flag informa que segmentos específicos são urgentes e devem ser priorizados, quando o flag estiver habilitado o receptor irá ler um segmento de 16 bits no cabeçalho, este segmento indica os dados urgentes do primeiro byte. Atualmente, esta bandeira está quase sem uso.
FIM: Os pacotes RST foram explicados no tutorial mencionado acima ( Nmap Stealth Scan ), ao contrário dos pacotes RST, os pacotes FIN, em vez de informar sobre o encerramento da conexão, solicitam-no do host em interação e aguardam até obter uma confirmação para encerrar a conexão.
Estados do porto
Aberto | filtrado: O Nmap não consegue detectar se a porta está aberta ou filtrada, mesmo se a porta estiver aberta, a varredura de Natal irá reportá-la como aberta | filtrada, isso acontece quando nenhuma resposta é recebida (mesmo após retransmissões).
Fechadas: O Nmap detecta que a porta está fechada, isso acontece quando a resposta é um pacote TCP RST.
Filtrado: O Nmap detecta um firewall filtrando as portas escaneadas, isso acontece quando a resposta é erro ICMP inacessível (tipo 3, código 1, 2, 3, 9, 10 ou 13). Com base nos padrões RFC, o Nmap ou a varredura de Natal é capaz de interpretar o estado da porta
A varredura de Natal, assim como a varredura NULL e FIN não pode distinguir entre uma porta fechada e uma porta filtrada, como mencionado acima, a resposta do pacote é um erro ICMP O Nmap marca-o como filtrado, mas conforme explicado no livro do Nmap se a sonda for banido sem resposta parece aberto, portanto o Nmap mostra portas abertas e certas portas filtradas como abertas | filtradas
Quais defesas podem detectar uma varredura de Natal ?: Firewalls sem estado versus firewalls com estado:
Firewalls sem estado ou sem estado executam políticas de acordo com a origem do tráfego, destino, portas e regras semelhantes, ignorando a pilha TCP ou datagrama do protocolo. Ao contrário de firewalls sem estado, firewalls com estado, ele pode analisar pacotes detectando pacotes forjados, manipulação de MTU (unidade máxima de transmissão) e outras técnicas fornecidas pelo Nmap e outro software de varredura para contornar a segurança do firewall. Como o ataque de Natal é uma manipulação de pacotes, os firewalls com estado provavelmente o detectam, enquanto os firewalls sem estado não o são, o Sistema de Detecção de Intrusão também detectará esse ataque se configurado corretamente.
Modelos de tempo:
Paranóico: -T0, extremamente lento, útil para contornar IDS (Sistemas de detecção de intrusão)
Sorrateiro: -T1, muito lento, também útil para contornar IDS (Sistemas de detecção de intrusão)
Educado: -T2, neutro.
Normal: -T3, este é o modo padrão.
Agressivo: -T4, varredura rápida.
Insano: -T5, mais rápido do que a técnica de varredura agressiva.
Exemplos de Nmap Xmas Scan
O exemplo a seguir mostra uma varredura de Natal educada em LinuxHint.
nmap -sX -T2linuxhint.com
Exemplo de verificação agressiva de Natal em LinuxHint.com
nmap -sX -T4linuxhint.com
Aplicando a bandeira -sV para detecção de versão, você pode obter mais informações sobre portas específicas e distinguir entre portas filtradas e filtradas, mas embora o Natal seja considerado uma técnica de varredura furtiva, essa adição pode tornar a varredura mais visível para firewalls ou IDS.
nmap -sV -sX -T4linux.lat
Regras de iptables para bloquear a varredura de Natal
As seguintes regras de iptables podem protegê-lo de uma varredura de Natal:
iptables-PARAENTRADA-ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jDERRUBARiptables-PARAENTRADA-ptcp--tcp-flagsTUDO TUDO-jDERRUBAR
iptables-PARAENTRADA-ptcp--tcp-flagsTODOS NENHUM-jDERRUBAR
iptables-PARAENTRADA-ptcp--tcp-flagsSYN, RST SYN, RST-jDERRUBAR
Conclusão
Embora a varredura de Natal não seja nova e a maioria dos sistemas de defesa sejam capazes de detectá-la se tornando uma técnica obsoleta contra alvos bem protegidos, é uma ótima forma de introdução a segmentos incomuns de TCP como PSH e URG e para entender a maneira como o Nmap analisa pacotes tirar conclusões sobre os alvos. Mais do que um método de ataque, esta varredura é útil para testar seu firewall ou Sistema de Detecção de Intrusão. As regras de iptables mencionadas acima devem ser suficientes para impedir tais ataques de hosts remotos. Esta varredura é muito semelhante às varreduras NULL e FIN, tanto na forma como funcionam, quanto na baixa efetividade contra alvos protegidos.
Espero que você tenha achado este artigo útil como uma introdução à digitalização de Natal usando o Nmap. Continue seguindo LinuxHint para obter mais dicas e atualizações sobre Linux, rede e segurança.
Artigos relacionados:
- Como fazer a varredura de serviços e vulnerabilidades com o Nmap
- Usando scripts nmap: captura de banner Nmap
- digitalização de rede nmap
- nmap ping sweep
- sinalizadores nmap e o que eles fazem
- Instalação e tutorial do OpenVAS Ubuntu
- Instalando o Nexpose Vulnerability Scanner no Debian / Ubuntu
- Iptables para iniciantes
Principal fonte: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html