Nmap Xmas taraması, yanıtlayan cihazın yapısını belirlemek için Xmas paketlerine verilen yanıtları analiz eden gizli bir tarama olarak kabul edildi. Her işletim sistemi veya ağ aygıtı, OS (İşletim Sistemi), bağlantı noktası durumu ve daha fazlası gibi yerel bilgileri ortaya çıkaran Noel paketlerine farklı bir şekilde yanıt verir. Şu anda birçok güvenlik duvarı ve Saldırı Tespit Sistemi Noel paketlerini algılayabilir ve gizli tarama yapmak için en iyi teknik değildir, ancak nasıl çalıştığını anlamak son derece yararlıdır.
Nmap Stealth Scan ile ilgili son makalede, TCP ve SYN bağlantılarının nasıl kurulduğu (sizin bilmiyorsanız okumanız gerekir) ancak paketlerin nasıl kurulduğu anlatılmıştır. SON , PA ve URG olmayan paketler nedeniyle özellikle Noel için önemlidir. SYN, RST veya ne yazık ki bağlantı noktası kapalıysa bağlantı sıfırlamasında (RST) türevler ve bağlantı noktası açıksa yanıt verilmez. Bu tür paketlerin yokluğundan önce, taramayı gerçekleştirmek için FIN, PSH ve URG kombinasyonları yeterlidir.
FIN, PSH ve URG paketleri:
PSH: TCP arabellekleri, maksimum boyutta bir segmentten fazlasını gönderdiğinizde veri aktarımına izin verir. Arabellek dolu değilse, PSH (PUSH) bayrağı, başlığı doldurarak veya TCP'ye paket gönderme talimatı vererek yine de göndermeye izin verir. Bu bayrak sayesinde trafik oluşturan uygulama, verilerin derhal gönderilmesi gerektiğini bildirir, hedef bilgilendirilir ve verilerin derhal uygulamaya gönderilmesi gerekir.
URG: Bu bayrak, belirli bölümlerin acil olduğunu ve önceliklendirilmesi gerektiğini bildirir, bayrak etkinleştirildiğinde alıcı başlıktaki 16 bitlik bir bölümü okuyacaktır, bu bölüm ilk bayttan gelen acil verileri gösterir. Şu anda bu bayrak neredeyse kullanılmamaktadır.
SON: RST paketleri yukarıda bahsedilen öğreticide açıklanmıştır ( Nmap Gizli Tarama ), RST paketlerinin aksine, FIN paketleri, bağlantının sonlandırılması hakkında bilgi vermek yerine, etkileşimde bulunan ana bilgisayardan talep eder ve bağlantıyı sonlandırmak için bir onay alana kadar bekler.
liman devletleri
Açık|filtrelenmiş: Nmap, portun açık mı yoksa filtreli mi olduğunu tespit edemez, port açık olsa bile Noel taraması açık|filtrelenmiş olarak bildirir, herhangi bir yanıt alınmadığında (yeniden iletimlerden sonra bile) gerçekleşir.
Kapalı: Nmap, bağlantı noktasının kapalı olduğunu algılar, yanıt bir TCP RST paketi olduğunda olur.
Filtrelendi: Nmap, taranan bağlantı noktalarını filtreleyen bir güvenlik duvarı algılar, yanıt ICMP'ye erişilemiyor hatası olduğunda gerçekleşir (tip 3, kod 1, 2, 3, 9, 10 veya 13). RFC standartlarına göre Nmap veya Xmas taraması, bağlantı noktası durumunu yorumlayabilir
Xmas taraması, tıpkı NULL ve FIN taramasının, yukarıda bahsedildiği gibi, kapalı ve filtrelenmiş bir bağlantı noktası arasında ayrım yapamaması gibi, paket yanıtı bir ICMP hatasıdır Nmap onu filtrelenmiş olarak etiketler, ancak sonda ise Nmap kitabında açıklandığı gibi. cevapsız yasaklanmış, açılmış gibi görünüyor, bu nedenle Nmap açık portları ve belirli filtrelenmiş portları açık|filtrelenmiş olarak gösteriyor.
Hangi savunmalar bir Noel taramasını algılayabilir?: Durum bilgisi olmayan güvenlik duvarları ve Durum bilgisi olan güvenlik duvarları:
Durum bilgisi olmayan veya durum bilgisi olmayan güvenlik duvarları, TCP yığınını veya Protokol verikatarını yok sayarak trafik kaynağı, hedef, bağlantı noktaları ve benzeri kurallara göre politikalar yürütür. Durum bilgisi olmayan güvenlik duvarlarının, Durum bilgisi olan güvenlik duvarlarının aksine, sahte paketleri algılayan paketleri, MTU (Maksimum iletim Birimi) manipülasyonunu ve güvenlik duvarı güvenliğini atlamak için Nmap ve diğer tarama yazılımları tarafından sağlanan diğer teknikleri analiz edebilir. Noel saldırısı, durum bilgisi olan güvenlik duvarları tarafından algılanırken durum bilgisi olmayan güvenlik duvarlarının algılayacağı paketlerin bir manipülasyonu olduğundan, İzinsiz Giriş Tespit Sistemi, düzgün yapılandırılırsa bu saldırıyı da algılayacaktır.
Zamanlama şablonları:
paranoyak: -T0, son derece yavaş, IDS'yi (İzinsiz Giriş Tespit Sistemleri) atlamak için kullanışlı
Sinsi: -T1, çok yavaş, IDS'yi (Saldırı Tespit Sistemleri) atlamak için de kullanışlı
Kibar: -T2, nötr.
Normal: -T3, bu varsayılan moddur.
Agresif: -T4, hızlı tarama.
İnanılmaz: -T5, Agresif tarama tekniğinden daha hızlı.
Nmap Xmas Scan örnekleri
Aşağıdaki örnek, LinuxHint'e karşı nazik bir Noel taramasını göstermektedir.
nmap -sX -T2linuxhint.com 
LinuxHint.com'a Karşı Agresif Noel Taraması Örneği
nmap -sX -T4linuxhint.com 
Bayrağı uygulayarak -sV sürüm tespiti için belirli bağlantı noktaları hakkında daha fazla bilgi alabilir ve filtrelenmiş ve filtrelenmiş bağlantı noktaları arasında ayrım yapabilirsiniz, ancak Noel gizli bir tarama tekniği olarak kabul edilse de bu ekleme, taramayı güvenlik duvarları veya IDS için daha görünür hale getirebilir.
nmap -sV -sX -T4linux.lat 
Xmas taramasını engellemek için Iptables kuralları
Aşağıdaki iptables kuralları sizi bir Noel taramasından koruyabilir:
iptables-İLEGİRİŞ-Ptcp--tcp-bayraklarıFIN, URG, PSH FIN, URG, PSH-JDÜŞÜRMEKiptables-İLEGİRİŞ-Ptcp--tcp-bayraklarıHEPSİ HEPSİ-JDÜŞÜRMEK
iptables-İLEGİRİŞ-Ptcp--tcp-bayraklarıHEPSİ YOK-JDÜŞÜRMEK
iptables-İLEGİRİŞ-Ptcp--tcp-bayraklarıSYN,RST SYN,RST-JDÜŞÜRMEK
Çözüm
Noel taraması yeni olmasa ve çoğu savunma sistemi, iyi korunan hedeflere karşı eski bir teknik haline geldiğini tespit etme yeteneğine sahip olsa da, PSH ve URG gibi yaygın olmayan TCP segmentlerine giriş yapmak ve Nmap'in paketleri nasıl analiz ettiğini anlamak için harika bir yoldur. Hedefler hakkında sonuçlar elde edin. Bu tarama, bir saldırı yönteminden çok, güvenlik duvarınızı veya İzinsiz Giriş Tespit Sisteminizi test etmek için kullanışlıdır. Yukarıda bahsedilen iptables kuralları, uzak ana bilgisayarlardan bu tür saldırıları durdurmak için yeterli olmalıdır. Bu tarama, hem çalışma biçimleri hem de korunan hedeflere karşı düşük etkinlik açısından NULL ve FIN taramalarına çok benzer.
Umarım bu makaleyi Nmap kullanarak Xmas taramasına giriş olarak faydalı bulmuşsunuzdur. Linux, ağ iletişimi ve güvenlikle ilgili daha fazla ipucu ve güncelleme için LinuxHint'i takip etmeye devam edin.
İlgili Makaleler:
- Nmap ile hizmetler ve güvenlik açıkları nasıl taranır?
- nmap komut dosyalarını kullanma: Nmap banner yakalama
- nmap ağ taraması
- nmap ping taraması
- nmap bayrakları ve ne yaptıkları
- OpenVAS Ubuntu Kurulumu ve Eğitimi
- Nexpose Vulnerability Scanner'ı Debian/Ubuntu'ya Yükleme
- Yeni başlayanlar için iptables
Ana kaynak: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html