NMAP Weihnachten Scan

Jean Dengler
NMAP Weihnachten Scan

In diesem Tutorial wird erläutert, wie die Weihnachts -Stealth -Scan -Technik mit NMAP ausgeführt wird.

NMAP Weihnachten Der Scan wurde als verstohlener Scan angesehen, der die Antworten analysiert Weihnachten Pakete, um die Art des Antwortengeräts zu bestimmen.

Jedes Betriebssystem oder Netzwerkgerät antwortet auf eine andere Art und Weise als Weihnachten Pakete, die lokale Informationen wie OS (Betriebssystem), Portstatus und mehr enthüllen, und mehr.

Derzeit können viele Firewalls und Intrusion Detection Systems erkennen Weihnachten Pakete, und es ist nicht die beste Technik, um einen Stealth -Scan durchzuführen. Es ist jedoch äußerst nützlich zu verstehen, wie es funktioniert.

Nach dem Lesen dieses Tutorials versteht der Benutzer, wie Weihnachten, NULL, Und FLOSSE Scans arbeiten. Alle folgenden Anweisungen enthalten Screenshots, so.

Über den Weihnachts -Scan

Die meisten Firewalls sind sogenannte staatliche Firewalls. Sie haben die Fähigkeit, im Gegensatz zum Fliegen die Pakete zu analysieren, entgegen der staatenlos Firewall, die nur definierte Matching -Regeln vergleicht.

Normalerweise staatslose Firewalls Block Syn Bits oder Header von TCP -Paketen, wenn sie ohne gesendet werden Ack Bits. Der Weihnachts -Scan besteht darin, die zu löschen Syn Header aus dem TCP -Paket und ersetzen Sie es durch FLOSSE, PSH, Und Urg Bits (oder Header), die die Firewall umgehen.

Mit anderen Worten, TCP -Paket -Headers entsprechen den Firewall -Regeln werden durch Header ersetzt, die nicht übereinstimmenden Regeln entsprechen.

Der Weihnachts-Scan ist eine alte Stealth-Scan-Technik, die jedoch derzeit nicht zuverlässig ist, die durch die meisten Firewalls und Anti-Intrusions-Maßnahmen festgestellt wird. Es ist jedoch reproduzierbar und sehr lehrreich, etwas über die TCP -Struktur zu lernen.

In früheren Artikeln wie unserem Tutorial von NMAP Basics wurden NMAP Six mögliche Hafenzustände beschrieben.

Wenn wir uns auf die beziehen Weihnachten Scan, es gibt nur drei mögliche Portstaaten:

  • Offen | gefiltert: NMAP kann nicht erkennen, ob der Port geöffnet oder gefiltert ist. Auch wenn der Port geöffnet ist, meldet der Weihnachts -Scan ihn als offen | gefiltert. Es geschieht, wenn keine Antwort empfangen wird (auch nach Wiedervermutung).
  • Geschlossen: NMAP erkennt, dass der Port geschlossen ist; Es passiert, wenn die Antwort ein TCP -RST -Paket ist.
  • Gefiltert: NMAP erkennt eine Firewall, die die gescannten Ports filtert. Dies geschieht, wenn es sich bei der Antwort um einen nicht erreichbaren Fehler von ICMP handelt (Typ 3, Code 1, 2, 3, 9, 10 oder 13). Basierend auf den RFC -Standards NMAP oder dem Weihnachts -Scan kann den Portzustand interpretieren.

Wie aus der vorherigen Liste verstanden werden kann, Scan, genau wie NULL Und FLOSSE Scans, zwischen offenen und gefilterten Ports nicht unterscheiden.

Wenn das Ziel die Verbindung nicht ausdrücklich ablehnt und das Paket ohne Beantwortung nur fallen lässt, ohne eine Ablehnung Antwort, die Antwort Weihnachten Scan kann nicht sicher sein, ob der Port geöffnet oder gefiltert ist.

Wenn es keine offensichtliche Reaktion von einer Firewall gibt, können Ports definiert werden als offen | gefiltert.

Der Benutzer kann invasive Flags implementieren, um zwischen offenen und gefilterten Ports zu unterscheiden, aber es gibt keinen Sinn, sie mit einem Stealth -Scan wie Weihnachten zu kombinieren.

Notiz: Heutzutage werden in der Praxis wahrscheinlich alle Ziele als geschlossen oder filtriert von der veralteten Weihnachtstechnik erkannt.

Ausführung eines Weihnachts -Scans mit NMAP

Die Syntax zum Ausführen eines Weihnachts -Scans mit NMAP ist das folgende, wo die -SX Flag weist NMAP an, einen Weihnachtsscan zu starten, -T steuert die Zeitvorlage (unten erläutert) und -v weist Ausführlichkeit an.

sudo nmap -sx -t -v

Das folgende praktische Beispiel zeigt einen Weihnachts -Scan gegen den Router 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -v

Timing-Vorlagen (-t) Definieren Sie das Aggressivitätsniveau, das von den langsamsten bis zu den schnellsten Scan-Typen reicht.

Timing -Vorlagen

VORLAGE FLAGGE Funktionen
Paranoid -T0 Extrem langsam, nützlich, um IDs zu umgehen
Hinterhältig -T1 Langsam, auch nützlich, um IDs zu umgehen (Intrusion Detection Systems)
Höflich -T2 Neutral
Normal -T3 Standardmodus
Aggressiv -T4 Schnell-Scan
Verrückt -T5 Schneller

NULL- und FIN -Scans mit NMAP

NULL- und FIN -Scan -Typen wenden die gleiche Technik an und sind auch gegen Staatenlose Firewalls nützlich.

Während der Weihnachts -Scan die löscht, die Syn Magen oder Bit aus dem TCP -Paket und ersetzt es durch FLOSSE, PSH, Und Urg Header oder Flags, der Null -Scan löscht den Synchronisationsbit oder den Header, ohne es zu ersetzen. Es entfernt nur die Syn Bit (durch Firewalls blockiert) aus dem TCP -Paket.

Der Flossenscan löscht die Syn Header und verwendet a FLOSSE eins.

Die folgende Syntax gehört zu einem mit dem angegebenen FIN -Scan -sf Flagge. Wo <Vorlage> muss durch eine der in der vorherigen Tabelle beschriebenen Werte ersetzt werden und <Ziel> mit dem eigentlichen Ziel:

sudo nmap -sf -t -v

Im folgenden praktischen Beispiel startet der Benutzer einen Fin -Scan gegen den Host 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -v

Im nächsten Beispiel wird der Null -Scan mit dem unterrichtet -sn Flagge.

sudo nmap -sn -t2 192.168.0.103 -v

Alle diese Techniken nutzten die gleiche RFC -Regel, um einen Portzustand gemäß der Antwort zu lernen.

Der Syn -Stealth -Scan

Andere Stealth -Scan -Techniken wie SYN -Scans unterbrechen die Kommunikation, bevor sie festgelegt wird, und verhindert, dass Firewalls die Interaktion abpasst oder vor einem Scan reagiert.

Der Syn Scan, eine andere verstohlene Scan -Methode, wird mit dem implementiert -ss Flag, wie unten gezeigt:

Dieser Scan -Typ wird in unserem Artikel NMAP Stealth Scan tief erklärt.

Flossen-, PSH- und URG -Bits

Weihnachts- und Fin -Scans verwenden die folgenden Teile:

  • PSH: TCP -Puffer ermöglichen eine Datenübertragung, wenn Sie mehr als ein Segment mit der maximalen Größe senden. Wenn der Puffer nicht voll ist, kann das Flag -PSH (Push) ihn trotzdem senden, indem er den Header füllt oder TCP zum Senden von Paketen anweist. Durch dieses Flag informiert die Anwendung, die den Verkehr generiert.
  • URG: Dieses Flag informiert, dass bestimmte Segmente dringend sind und priorisiert werden müssen. Wenn das Flag aktiviert ist, liest der Empfänger ein 16 -Bit -Segment im Header. Dieses Segment gibt die dringenden Daten aus dem ersten Byte an. Derzeit ist diese Flagge fast ungenutzt.
  • FLOSSE: RST -Pakete wurden im oben genannten Tutorial erklärt (NMAP Stealth Scan). Im Gegensatz zu den ersten Paketen, Flossenpaketen, anstatt über die Verbindungsbeendigung zu informieren, fordert dies vom interagierenden Host an und warten Sie, bis eine Bestätigung zur Beendigung der Verbindung erhalten wird.

Iptables Regeln gegen Weihnachts -Scans

Heute heute sind alle Firewalls vor Weihnachten, Null- und Fin -Scans geschützt. Die Regeln von Firewall gegen solche Aktivitäten sind jedoch hilfreich, um zu verstehen, wie Pakete von Firewalls angegangen werden.

Iptables -a Eingabe -p TCP - -TCP -FLAGS FIN, URG, PSH FIN, URG, PSH -J DROPPE
iptables -a input -p tcp - -tcp -flags alle alle -j Drop
iptables -a input -p tcp - -tcp -flags alle keine -j Drop
iptables -a input -p tcp - -tcp -flags syn, rst syn, rst -J Drop

Abschluss

Während der Weihnachts-Scan nicht neu ist und die meisten Verteidigungssysteme ihn erkennen können, wird es eine großartige Möglichkeit, ungewöhnliche TCP Analysiert Pakete, um Schlussfolgerungen für Ziele zu erhalten.

Dieser Scan ist mehr als eine Angriffsmethode, um Ihre Firewall- oder Intrusion Detection -System zu testen. Die zuvor erwähnten Iptables -Regeln sollten ausreichen, um solche Angriffe von Remote -Hosts zu stoppen. Dieser Scan ist den Null- und Finscans sehr ähnlich, sowohl in der Art und Weise, wie sie funktionieren.

Wie Sie sehen können, können Weihnachts -Scans von jedem Benutzer unabhängig von der Wissensebene gestartet werden. Das Verständnis für alle ist für alle, die in die Networking eingeführt werden, ziemlich einfach. Es ist jedoch wahrscheinlich, dass jeder Exploit für ein altes Sicherheitsloch.

Ich hoffe, Sie haben diesen Artikel als nützlich gefunden, um Weihnachten Scans mit NMAP zu verstehen. Verfolgen Sie den Hinweis auf Linux weiter, um weitere Tipps und Updates zu Linux, Networking und Sicherheit zu erhalten.

C -Programmierung
Was ist Speicheradresse in der C -Programmierung und wie man sie findet??
Speicheradresse in der C -Programmierung bezieht sich auf den Ort, an dem die Daten im Speicher des ...
Hussein Burkhard
c scharf
Was ist Mathe?.Max -Methode in C#
Die Mathematik.MAX () -Methode in C# kann den Maximalwert von zwei angegebenen Werten ermitteln. Es ...
Fr. Chris Frisch
Bash -Programmierung
So verwenden Sie den Befehl Find im Bash -Skript
Der Befehl zum Finden kann verwendet werden, um Dateien basierend auf Namen, Benutzergruppen, Größe ...
Stephan Harms
Python
Python Math Exp
Christopher Lammert
Python
Python OS Mkdir
Ansgar Radtke
c scharf
Was ist System.Io Namespace in C#
Mohamed Flore
Oracle -Datenbank
Ist die Oracle -Datenbank ähnlich wie bei der MySQL -Datenbank? | Erklärt
Ansgar Radtke
html
So fügen Sie Videos auf einer Webseite mit HTML hinzu und spielen Sie Videos ab?
Jean Dengler
Power Shell
So verwenden Sie den Befehl „Get-Service“ in PowerShell
Fr. Chris Frisch
AWS
Was ist eine Instanz und wie man sie in EC2 verwendet??
Fr. Chris Frisch
Fedora
So aktivieren Sie das RPM -Fusions -Repository auf Fedora
Jean Dengler
Php
So verwenden Sie die PHP -GetDate -Funktion
Ansgar Radtke
c scharf
Wie man eine Dezimalzahl in ein Doppel in C# umwandelt
Jessica Schimmer