Pemindaian Natal Nmap

Pemindaian Nmap Xmas dianggap sebagai pemindaian tersembunyi yang menganalisis respons terhadap paket Xmas untuk menentukan sifat perangkat yang membalas. Setiap sistem operasi atau perangkat jaringan merespons dengan cara berbeda terhadap paket Natal yang mengungkapkan informasi lokal seperti OS (Sistem Operasi), status port, dan lainnya. Saat ini banyak firewall dan Sistem Deteksi Intrusi dapat mendeteksi paket Natal dan ini bukan teknik terbaik untuk melakukan pemindaian tersembunyi, namun sangat berguna untuk memahami cara kerjanya.

Dalam artikel terakhir di Nmap Stealth Scan dijelaskan bagaimana koneksi TCP dan SYN dibuat (harus dibaca jika Anda tidak mengetahuinya) tetapi paket AKHIR , PA dan URG sangat relevan untuk Natal karena paket tanpa SYN, RST atau SAYANG turunannya dalam koneksi reset (RST) jika port ditutup dan tidak ada respon jika port terbuka. Sebelum tidak adanya paket seperti itu, kombinasi FIN, PSH dan URG sudah cukup untuk melakukan pemindaian.

Paket FIN, PSH dan URG:

PSH: Buffer TCP memungkinkan transfer data saat Anda mengirim lebih dari satu segmen dengan ukuran maksimal. Jika buffer tidak penuh, flag PSH (PUSH) memungkinkan untuk tetap mengirimkannya dengan mengisi header atau menginstruksikan TCP untuk mengirim paket. Melalui flag ini aplikasi pembangkit lalu lintas menginformasikan data harus segera dikirim, tujuan diinformasikan data harus segera dikirim ke aplikasi.

URG: Flag ini menginformasikan segmen-segmen tertentu yang urgent dan harus diprioritaskan, ketika flag diaktifkan receiver akan membaca segmen 16 bit di header, segmen ini menandakan data urgent dari byte pertama. Saat ini bendera ini hampir tidak digunakan.

AKHIR: Paket RST dijelaskan dalam tutorial yang disebutkan di atas ( Pemindaian Siluman Nmap ), bertentangan dengan paket RST, paket FIN alih-alih menginformasikan penghentian koneksi memintanya dari host yang berinteraksi dan menunggu hingga mendapatkan konfirmasi untuk mengakhiri koneksi.

Negara pelabuhan

Buka|difilter: Nmap tidak dapat mendeteksi apakah port terbuka atau difilter, bahkan jika port terbuka, pemindaian Xmas akan melaporkannya sebagai open|filtered, hal itu terjadi ketika tidak ada respons yang diterima (bahkan setelah transmisi ulang).

Tertutup: Nmap mendeteksi port ditutup, itu terjadi ketika responsnya adalah paket TCP RST.

Tersaring: Nmap mendeteksi firewall memfilter port yang dipindai, itu terjadi ketika responsnya adalah kesalahan ICMP yang tidak dapat dijangkau (tipe 3, kode 1, 2, 3, 9, 10, atau 13). Berdasarkan standar RFC, Nmap atau pemindaian Xmas mampu menafsirkan status port

Pemindaian Xmas, sama seperti pemindaian NULL dan FIN tidak dapat membedakan antara port tertutup dan terfilter, seperti yang disebutkan di atas, adalah respons paket adalah kesalahan ICMP. Nmap menandainya sebagai difilter, tetapi seperti yang dijelaskan pada buku Nmap jika probe diblokir tanpa tanggapan sepertinya dibuka, oleh karena itu Nmap menunjukkan port terbuka dan port terfilter tertentu sebagai terbuka|terfilter

Pertahanan apa yang dapat mendeteksi pemindaian Xmas?: Firewall stateless vs firewall Stateful:

Firewall stateless atau non-stateful menjalankan kebijakan sesuai dengan sumber lalu lintas, tujuan, port, dan aturan serupa yang mengabaikan tumpukan TCP atau datagram Protokol. Berlawanan dengan firewall Stateless, firewall Stateful, ia dapat menganalisis paket yang mendeteksi paket palsu, manipulasi MTU (Unit Transmisi Maksimum) dan teknik lain yang disediakan oleh Nmap dan perangkat lunak pemindaian lainnya untuk melewati keamanan firewall. Karena serangan Xmas adalah manipulasi paket, firewall stateful cenderung mendeteksinya sementara firewall stateless tidak, Intrusion Detection System juga akan mendeteksi serangan ini jika dikonfigurasi dengan benar.

Template waktu:

Paranoid: -T0, sangat lambat, berguna untuk mem-bypass IDS (Sistem Deteksi Intrusi)
licik: -T1, sangat lambat, juga berguna untuk mem-bypass IDS (Intrusion Detection Systems)
Sopan: -T2, netral.
Normal: -T3, ini adalah mode default.
Agresif: -T4, pemindaian cepat.
Gila: -T5, lebih cepat dari teknik pemindaian agresif.

Contoh Nmap Xmas Scan

Contoh berikut menunjukkan pemindaian Xmas yang sopan terhadap LinuxHint.

Contoh Pemindaian Xmas Agresif terhadap LinuxHint.com

Dengan menerapkan bendera -sV untuk deteksi versi, Anda dapat memperoleh informasi lebih lanjut tentang port tertentu dan membedakan antara port yang difilter dan difilter, tetapi meskipun Xmas dianggap sebagai teknik pemindaian tersembunyi, penambahan ini dapat membuat pemindaian lebih terlihat oleh firewall atau IDS.

Aturan Iptables untuk memblokir pemindaian Xmas

Aturan iptables berikut dapat melindungi Anda dari pemindaian Xmas:

Kesimpulan

Meskipun pemindaian Xmas bukanlah hal baru dan sebagian besar sistem pertahanan mampu mendeteksinya menjadi teknik usang terhadap target yang terlindungi dengan baik, ini adalah cara yang bagus untuk memperkenalkan segmen TCP yang tidak umum seperti PSH dan URG dan untuk memahami cara Nmap menganalisis paket. mendapatkan kesimpulan tentang sasaran. Lebih dari sekadar metode serangan, pemindaian ini berguna untuk menguji firewall atau Sistem Deteksi Intrusi Anda. Aturan iptables yang disebutkan di atas seharusnya cukup untuk menghentikan serangan semacam itu dari host jarak jauh. Pemindaian ini sangat mirip dengan pemindaian NULL dan FIN baik dalam cara kerjanya maupun efektivitasnya yang rendah terhadap target yang dilindungi.

Saya harap Anda menemukan artikel ini bermanfaat sebagai pengantar pemindaian Xmas menggunakan Nmap. Ikuti terus LinuxHint untuk tips dan pembaruan lainnya tentang Linux, jaringan, dan keamanan.

Artikel terkait:

• Cara memindai layanan dan kerentanan dengan Nmap
• Menggunakan skrip nmap: Ambil spanduk Nmap
• pemindaian jaringan nmap
• sapuan ping nmap
• flag nmap dan fungsinya
• Instalasi dan Tutorial OpenVAS Ubuntu
• Memasang Pemindai Kerentanan Nexpose di Debian/Ubuntu
• Iptables untuk pemula

Sumber utama: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html