Analyse de Noël Nmap

Nmap Xmas Scan



L'analyse Nmap Xmas était considérée comme une analyse furtive qui analyse les réponses aux paquets Xmas pour déterminer la nature du périphérique de réponse. Chaque système d'exploitation ou périphérique réseau répond de manière différente aux paquets de Noël révélant des informations locales telles que le système d'exploitation (système d'exploitation), l'état du port, etc. Actuellement, de nombreux pare-feu et système de détection d'intrusion peuvent détecter les paquets de Noël et ce n'est pas la meilleure technique pour effectuer une analyse furtive, mais il est extrêmement utile de comprendre comment cela fonctionne.

Dans le dernier article sur Nmap Stealth Scan, il a été expliqué comment les connexions TCP et SYN sont établies (à lire si vous ne le connaissez pas) mais les paquets FINIR , Pennsylvanie et URG sont particulièrement pertinents pour Noël car les paquets sans SYN, RST ou HÉLAS dérivés dans une réinitialisation de connexion (RST) si le port est fermé et aucune réponse si le port est ouvert. Avant l'absence de tels paquets, des combinaisons de FIN, PSH et URG suffisent pour effectuer le scan.





Paquets FIN, PSH et URG :

PSH : Les tampons TCP permettent le transfert de données lorsque vous envoyez plus d'un segment avec une taille maximale. Si le tampon n'est pas plein, le drapeau PSH (PUSH) permet de l'envoyer quand même en remplissant l'en-tête ou en demandant à TCP d'envoyer des paquets. Grâce à ce drapeau, l'application générant du trafic informe que les données doivent être envoyées immédiatement, la destination est informée que les données doivent être envoyées immédiatement à l'application.



URG : Ce drapeau informe que des segments spécifiques sont urgents et doivent être priorisés, lorsque le drapeau est activé, le récepteur lira un segment de 16 bits dans l'en-tête, ce segment indique les données urgentes du premier octet. Actuellement, ce drapeau est presque inutilisé.



FINIR: Les paquets RST ont été expliqués dans le tutoriel mentionné ci-dessus ( Scan furtif Nmap ), contrairement aux paquets RST, les paquets FIN, plutôt que d'informer sur la fin de la connexion, le demandent à l'hôte interagissant et attendent d'obtenir une confirmation pour mettre fin à la connexion.



États du port

Ouvrir|filtré : Nmap ne peut pas détecter si le port est ouvert ou filtré, même si le port est ouvert, le scan de Noël le signalera comme ouvert|filtré, cela se produit lorsqu'aucune réponse n'est reçue (même après les retransmissions).

Fermé: Nmap détecte que le port est fermé, cela se produit lorsque la réponse est un paquet TCP RST.



Filtré: Nmap détecte un pare-feu filtrant les ports scannés, cela se produit lorsque la réponse est une erreur ICMP inaccessible (type 3, code 1, 2, 3, 9, 10 ou 13). Basé sur les normes RFC, Nmap ou le scan de Noël est capable d'interpréter l'état du port

Le scan de Noël, tout comme le scan NULL et FIN ne peut pas faire la distinction entre un port fermé et filtré, comme mentionné ci-dessus, est la réponse du paquet est une erreur ICMP Nmap le marque comme filtré, mais comme expliqué sur le livre Nmap si la sonde est banni sans réponse, il semble ouvert, donc Nmap affiche les ports ouverts et certains ports filtrés comme ouverts|filtrés

Quelles défenses peuvent détecter une analyse de Noël ? : Pare-feu sans état vs pare-feu avec état :

Les pare-feu sans état ou sans état exécutent des politiques en fonction de la source du trafic, de la destination, des ports et des règles similaires en ignorant la pile TCP ou le datagramme de protocole. Contrairement aux pare-feu sans état, aux pare-feu avec état, il peut analyser les paquets en détectant les paquets falsifiés, la manipulation MTU (Unité de transmission maximale) et d'autres techniques fournies par Nmap et d'autres logiciels d'analyse pour contourner la sécurité du pare-feu. Étant donné que l'attaque de Noël est une manipulation de paquets, les pare-feu avec état sont susceptibles de la détecter alors que les pare-feu sans état ne le sont pas, le système de détection d'intrusion détectera également cette attaque s'il est configuré correctement.

Modèles de chronométrage :

Paranoïaque: -T0, extrêmement lent, utile pour contourner les IDS (Intrusion Detection Systems)
Sournois: -T1, très lent, également utile pour contourner les IDS (Intrusion Detection Systems)
Poli: -T2, neutre.
Normal: -T3, c'est le mode par défaut.
Agressif: -T4, balayage rapide.
Insensé: -T5, plus rapide que la technique de balayage agressif.

Exemples d'analyse de Noël Nmap

L'exemple suivant montre une analyse de Noël polie contre LinuxHint.

nmap -sX -T2linuxhint.com

Exemple d'analyse de Noël agressive contre LinuxHint.com

nmap -sX -T4linuxhint.com

En appliquant le drapeau -sV pour la détection de version, vous pouvez obtenir plus d'informations sur des ports spécifiques et faire la distinction entre les ports filtrés et filtrés, mais alors que Noël était considéré comme une technique d'analyse furtive, cet ajout peut rendre l'analyse plus visible pour les pare-feu ou IDS.

nmap -sV -sX -T4linux.lat

Règles Iptables pour bloquer le scan de Noël

Les règles iptables suivantes peuvent vous protéger d'un scan de Noël :

iptablesSAISIR-ptcp--tcp-drapeauxFIN, URG, PSH FIN, URG, PSH-jTOMBER
iptablesSAISIR-ptcp--tcp-drapeauxTOUS TOUS-jTOMBER
iptablesSAISIR-ptcp--tcp-drapeauxTOUS AUCUN-jTOMBER
iptablesSAISIR-ptcp--tcp-drapeauxSYN,RST SYN,RST-jTOMBER

Conclusion

Bien que le scan de Noël ne soit pas nouveau et que la plupart des systèmes de défense soient capables de le détecter en train de devenir une technique obsolète contre des cibles bien protégées, c'est un excellent moyen d'introduire des segments TCP rares comme PSH et URG et de comprendre la façon dont Nmap analyse les paquets. obtenir des conclusions sur les cibles. Plus qu'une méthode d'attaque, cette analyse est utile pour tester votre pare-feu ou votre système de détection d'intrusion. Les règles iptables mentionnées ci-dessus devraient être suffisantes pour arrêter de telles attaques provenant d'hôtes distants. Cette analyse est très similaire aux analyses NULL et FIN à la fois dans la manière dont elles fonctionnent et de faible efficacité contre les cibles protégées.

J'espère que vous avez trouvé cet article utile comme introduction au scan de Noël à l'aide de Nmap. Continuez à suivre LinuxHint pour plus de conseils et de mises à jour concernant Linux, la mise en réseau et la sécurité.

Articles Liés:

  • Comment rechercher des services et des vulnérabilités avec Nmap
  • Utilisation de scripts nmap : capture de bannière Nmap
  • analyse du réseau nmap
  • balayage ping nmap
  • drapeaux nmap et ce qu'ils font
  • Installation et didacticiel OpenVAS Ubuntu
  • Installation de Nexpose Vulnerability Scanner sur Debian/Ubuntu
  • Iptables pour les débutants

Source principale: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Catégorie

Articles Populaires

Quelle est la file d'attente à Golang ?

Comment installer et configurer Google Drive sur Fedora Linux

Comment gérer les packages sur Linux Mint 21

Comment ajouter un objet Heures à ce jour en JavaScript

Qu'est-ce qu'un ensemble dans TypeScript et comment peut-il être utilisé ?

Comment installer Flask sur Linux Mint 21

Quelle est la différence entre AWS Batch et Lambda ?

Comment faire du colorant rouge dans Minecraft

Exemple de fichier batch : comment automatiser les transferts SFTP à l'aide de fichiers batch

Comment trouver les meilleurs répertoires et fichiers en termes d'utilisation du disque dans Raspberry Pi

Comment créer un fichier de service sous Linux

Comment utiliser le module d'horloge en temps réel (RTC) DS3231 avec un ESP32

Réveillez ESP32 à partir du sommeil profond à l'aide de minuteries-MicroPython

Somme cumulée SQL

Créer un déploiement Kubernetes

Configurer le chiffrement des données au repos dans PostgreSQL

Liste des processus en cours et de leurs temps de création - Winhelponline

Comment afficher tous les emplois dans Crontab ?

Comment utiliser la fonction PHP strrpos()

Clause SQL PARTITION BY