Η σάρωση Nmap Xmas θεωρήθηκε μια κρυφή σάρωση η οποία αναλύει τις απαντήσεις σε πακέτα Xmas για να καθορίσει τη φύση της συσκευής απάντησης. Κάθε λειτουργικό σύστημα ή συσκευή δικτύου ανταποκρίνεται με διαφορετικό τρόπο στα πακέτα Χριστουγέννων αποκαλύπτοντας τοπικές πληροφορίες όπως λειτουργικό σύστημα (λειτουργικό σύστημα), κατάσταση θύρας και άλλα. Επί του παρόντος πολλά τείχη προστασίας και σύστημα ανίχνευσης εισβολής μπορούν να ανιχνεύσουν πακέτα Χριστουγέννων και δεν είναι η καλύτερη τεχνική για τη διεξαγωγή σάρωσης stealth, ωστόσο είναι εξαιρετικά χρήσιμο να κατανοήσουμε πώς λειτουργεί.
Στο τελευταίο άρθρο σχετικά με το Nmap Stealth Scan εξηγήθηκε πώς δημιουργούνται οι συνδέσεις TCP και SYN (πρέπει να διαβάζονται αν είναι άγνωστες σε εσάς) αλλά τα πακέτα ΤΕΛΟΣ , ΠΑ και URG είναι ιδιαίτερα σχετικά με τα Χριστούγεννα επειδή τα πακέτα χωρίς SYN, RST ή ΑΛΙΜΟΝΟ παράγωγα σε επαναφορά σύνδεσης (RST) εάν η θύρα είναι κλειστή και καμία απόκριση εάν η θύρα είναι ανοιχτή. Πριν από την απουσία τέτοιων πακέτων αρκούν συνδυασμοί FIN, PSH και URG για να πραγματοποιηθεί η σάρωση.
Πακέτα FIN, PSH και URG:
PSH: Τα buffer TCP επιτρέπουν τη μεταφορά δεδομένων όταν στέλνετε περισσότερα από ένα τμήμα με μέγιστο μέγεθος. Εάν το buffer δεν είναι πλήρες, η σημαία PSH (PUSH) επιτρέπει την αποστολή του ούτως ή άλλως συμπληρώνοντας την κεφαλίδα ή δίνοντας εντολή στο TCP να στείλει πακέτα. Μέσω αυτής της σημαίας η εφαρμογή που δημιουργεί επισκεψιμότητα ενημερώνει ότι τα δεδομένα πρέπει να αποστέλλονται αμέσως, ο προορισμός είναι ενημερωμένος Τα δεδομένα πρέπει να αποστέλλονται αμέσως στην εφαρμογή.
URG: Αυτή η σημαία ενημερώνει ότι συγκεκριμένα τμήματα είναι επείγοντα και πρέπει να δοθεί προτεραιότητα, όταν η σημαία είναι ενεργοποιημένη, ο δέκτης θα διαβάσει ένα τμήμα 16 bit στην κεφαλίδα, αυτό το τμήμα υποδεικνύει τα επείγοντα δεδομένα από το πρώτο byte. Αυτή τη στιγμή αυτή η σημαία είναι σχεδόν αχρησιμοποίητη.
ΤΕΛΟΣ: Τα πακέτα RST εξηγήθηκαν στο σεμινάριο που αναφέρθηκε παραπάνω ( Nmap Stealth Scan ), σε αντίθεση με τα πακέτα RST, τα πακέτα FIN αντί να ενημερώνουν για τον τερματισμό της σύνδεσης το ζητούν από τον κεντρικό υπολογιστή που αλληλεπιδρά και περιμένει μέχρι να λάβει μια επιβεβαίωση για τον τερματισμό της σύνδεσης.
Λιμενικά κράτη
Άνοιγμα | φιλτραρισμένο: Το Nmap δεν μπορεί να ανιχνεύσει εάν η θύρα είναι ανοιχτή ή φιλτραρισμένη, ακόμη και αν η θύρα είναι ανοιχτή, η σάρωση Χριστουγέννων θα την αναφέρει ως ανοικτή | φιλτράρεται, συμβαίνει όταν δεν λαμβάνεται καμία απάντηση (ακόμη και μετά από εκπομπές).
Κλειστό: Το Nmap ανιχνεύει ότι η θύρα είναι κλειστή, συμβαίνει όταν η απόκριση είναι ένα πακέτο TCP RST.
Φιλτραρισμένο: Το Nmap ανιχνεύει ένα τείχος προστασίας που φιλτράρει τις σαρωμένες θύρες, συμβαίνει όταν η απόκριση είναι απρόσιτο σφάλμα ICMP (τύπος 3, κωδικός 1, 2, 3, 9, 10 ή 13). Με βάση τα πρότυπα RFC, το Nmap ή το Xmas scan είναι σε θέση να ερμηνεύσει την κατάσταση της θύρας
Η σάρωση Χριστουγέννων, όπως η σάρωση NULL και FIN δεν μπορεί να κάνει διάκριση μεταξύ μιας κλειστής και φιλτραρισμένης θύρας, όπως προαναφέρθηκε, είναι ότι η απόκριση πακέτου είναι ένα σφάλμα ICMP το Nmap το επισημαίνει ως φιλτραρισμένο, αλλά όπως εξηγείται στο βιβλίο Nmap εάν ο ανιχνευτής είναι απαγορευμένο χωρίς απόκριση φαίνεται ανοιχτό, επομένως το Nmap εμφανίζει ανοιχτές θύρες και ορισμένες φιλτραρισμένες θύρες ως ανοιχτές | φιλτραρισμένες
Ποιες άμυνες μπορούν να ανιχνεύσουν μια σάρωση Χριστουγέννων ;: Τείχη προστασίας χωρίς καθεστώς έναντι τείχους προστασίας Stateful:
Τα τείχη προστασίας χωρίς ιθαγένεια ή χωρίς κατάσταση εφαρμόζουν πολιτικές σύμφωνα με την πηγή επισκεψιμότητας, τον προορισμό, τις θύρες και παρόμοιους κανόνες αγνοώντας τη στοίβα TCP ή το πρωτόκολλο datagram. Σε αντίθεση με τα τείχη προστασίας χωρίς κράτος, τα τείχη προστασίας Stateful, μπορεί να αναλύσει πακέτα που ανιχνεύουν πλαστά πακέτα, χειρισμούς MTU (μονάδα μέγιστης μετάδοσης) και άλλες τεχνικές που παρέχονται από το Nmap και άλλο λογισμικό σάρωσης για παράκαμψη της ασφάλειας τείχους προστασίας. Δεδομένου ότι η επίθεση των Χριστουγέννων είναι μια χειραγώγηση πακέτων, τα τείχη προστασίας είναι πιθανό να το εντοπίσουν ενώ τα τείχη προστασίας χωρίς κατάσταση, το σύστημα ανίχνευσης εισβολής θα εντοπίσει επίσης αυτήν την επίθεση εάν έχει διαμορφωθεί σωστά.
Πρότυπα χρονισμού:
ΠαρανοΪκός: -T0, εξαιρετικά αργό, χρήσιμο για παράκαμψη του IDS (συστήματα ανίχνευσης εισβολής)
Υπουλος: -T1, πολύ αργό, επίσης χρήσιμο για παράκαμψη του IDS (συστήματα ανίχνευσης εισβολής)
Ευγενικός: -Τ2, ουδέτερο.
Κανονικός: -T3, αυτή είναι η προεπιλεγμένη λειτουργία.
Επιθετικός: -T4, γρήγορη σάρωση.
Παράφρων: -T5, γρηγορότερα από την επιθετική τεχνική σάρωσης.
Παραδείγματα Nmap Xmas Scan
Το ακόλουθο παράδειγμα δείχνει μια ευγενική σάρωση Χριστουγέννων έναντι LinuxHint.
nmap -sX -Τ2linuxhint.com 
Παράδειγμα επιθετικής σάρωσης Χριστουγέννων κατά LinuxHint.com
nmap -sX -Τ4linuxhint.com 
Με την εφαρμογή της σημαίας -sV για ανίχνευση έκδοσης, μπορείτε να λάβετε περισσότερες πληροφορίες για συγκεκριμένες θύρες και να διακρίνετε μεταξύ φιλτραρισμένων και φιλτραρισμένων θυρών, αλλά ενώ τα Χριστούγεννα θεωρούνταν τεχνική σάρωσης stealth, αυτή η προσθήκη μπορεί να κάνει τη σάρωση πιο ορατή σε τείχη προστασίας ή IDS.
nmap -sV -sX -Τ4linux.lat 
Κανόνες Iptables για τον αποκλεισμό της σάρωσης Χριστουγέννων
Οι ακόλουθοι κανόνες iptables μπορούν να σας προστατεύσουν από μια σάρωση Χριστουγέννων:
iptables-ΠΡΟΣ ΤΟΕΙΣΑΓΩΓΗ-Πtcp--tcp-σημαίεςFIN, URG, PSH FIN, URG, PSH-jΠΤΩΣΗiptables-ΠΡΟΣ ΤΟΕΙΣΑΓΩΓΗ-Πtcp--tcp-σημαίεςΟΛΑ ΟΛΑ-jΠΤΩΣΗ
iptables-ΠΡΟΣ ΤΟΕΙΣΑΓΩΓΗ-Πtcp--tcp-σημαίεςΟΛΑ ΚΑΜΙΑ-jΠΤΩΣΗ
iptables-ΠΡΟΣ ΤΟΕΙΣΑΓΩΓΗ-Πtcp--tcp-σημαίεςSYN, RST SYN, RST-jΠΤΩΣΗ
συμπέρασμα
Παρόλο που η σάρωση Χριστουγέννων δεν είναι καινούργια και τα περισσότερα αμυντικά συστήματα είναι σε θέση να το εντοπίσουν ότι γίνεται παρωχημένη τεχνική έναντι καλά προστατευμένων στόχων, είναι ένας πολύ καλός τρόπος εισαγωγής σε ασυνήθιστα τμήματα TCP όπως το PSH και το URG και για να κατανοήσουμε τον τρόπο με τον οποίο η Nmap αναλύει πακέτα βγάλτε συμπεράσματα για τους στόχους. Περισσότερο από μια μέθοδος επίθεσης, αυτή η σάρωση είναι χρήσιμη για τον έλεγχο του τείχους προστασίας ή του συστήματος ανίχνευσης εισβολής. Οι κανόνες iptables που αναφέρονται παραπάνω θα πρέπει να είναι αρκετοί για να σταματήσουν τέτοιες επιθέσεις από απομακρυσμένους κεντρικούς υπολογιστές. Αυτή η σάρωση μοιάζει πολύ με τις σαρώσεις NULL και FIN τόσο με τον τρόπο που λειτουργούν όσο και με χαμηλή αποτελεσματικότητα έναντι προστατευόμενων στόχων.
Ελπίζω να βρήκατε αυτό το άρθρο χρήσιμο ως εισαγωγή στη σάρωση Χριστουγέννων χρησιμοποιώντας το Nmap. Συνεχίστε να ακολουθείτε το LinuxHint για περισσότερες συμβουλές και ενημερώσεις σχετικά με το Linux, τη δικτύωση και την ασφάλεια.
Σχετικά Άρθρα:
- Πώς να σαρώσετε υπηρεσίες και τρωτά σημεία με το Nmap
- Χρήση σεναρίων nmap: Λήψη banner Nmap
- σάρωση δικτύου nmap
- nmap ping sweep
- σημαίες nmap και τι κάνουν
- Εγκατάσταση και φροντιστήριο OpenVAS Ubuntu
- Εγκατάσταση Nexpose Vulnerability Scanner στο Debian/Ubuntu
- Iptables για αρχάριους
Κύρια πηγή: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html