La scansione di Natale di Nmap era considerata una scansione furtiva che analizza le risposte ai pacchetti di Natale per determinare la natura del dispositivo di risposta. Ogni sistema operativo o dispositivo di rete risponde in modo diverso ai pacchetti di Natale rivelando informazioni locali come OS (sistema operativo), stato della porta e altro. Attualmente molti firewall e Intrusion Detection System possono rilevare i pacchetti di Natale e non è la tecnica migliore per effettuare una scansione invisibile, tuttavia è estremamente utile per capire come funziona.
Nell'ultimo articolo su Nmap Stealth Scan è stato spiegato come vengono stabilite le connessioni TCP e SYN (da leggere se sconosciute) ma i pacchetti FINE , PAPÀ e URG sono particolarmente importanti per il Natale perché i pacchetti senza SYN, RST o ALAS derivate in un reset della connessione (RST) se la porta è chiusa e nessuna risposta se la porta è aperta. Prima dell'assenza di tali pacchetti sono sufficienti le combinazioni FIN, PSH e URG per effettuare la scansione.
Pacchetti FIN, PSH e URG:
PS: I buffer TCP consentono il trasferimento dei dati quando si invia più di un segmento con dimensioni massime. Se il buffer non è pieno il flag PSH (PUSH) consente di inviarlo comunque riempiendo l'intestazione o indicando al TCP di inviare i pacchetti. Attraverso questo flag l'applicazione che genera traffico informa che i dati devono essere inviati immediatamente, la destinazione è informata che i dati devono essere inviati immediatamente all'applicazione.
URG: Questo flag informa che segmenti specifici sono urgenti e devono essere prioritari, quando il flag è abilitato il ricevitore leggerà un segmento di 16 bit nell'intestazione, questo segmento indica i dati urgenti dal primo byte. Attualmente questa bandiera è quasi inutilizzata.
FINE: I pacchetti RST sono stati spiegati nel tutorial menzionato sopra ( Scansione invisibile di Nmap ), contrariamente ai pacchetti RST, i pacchetti FIN invece di informare sulla terminazione della connessione lo richiedono dall'host interagente e aspettano di ottenere una conferma per terminare la connessione.
Stati di approdo
Apri|filtrato: Nmap non è in grado di rilevare se la porta è aperta o filtrata, anche se la porta è aperta la scansione di Natale la segnalerà come aperta|filtrata, accade quando non viene ricevuta alcuna risposta (anche dopo le ritrasmissioni).
Chiuso: Nmap rileva che la porta è chiusa, accade quando la risposta è un pacchetto TCP RST.
Filtrato: Nmap rileva un firewall che filtra le porte scansionate, accade quando la risposta è un errore ICMP irraggiungibile (tipo 3, codice 1, 2, 3, 9, 10 o 13). Basato sugli standard RFC, Nmap o Xmas scan è in grado di interpretare lo stato della porta
La scansione di Natale, proprio come la scansione NULL e FIN non può distinguere tra una porta chiusa e filtrata, come menzionato sopra, la risposta del pacchetto è un errore ICMP Nmap lo contrassegna come filtrato, ma come spiegato su Nmap book se la sonda è bannato senza risposta sembra aperto, quindi Nmap mostra le porte aperte e alcune porte filtrate come aperte|filtrate
Quali difese possono rilevare una scansione di Natale?: Firewall stateless vs Firewall stateful:
I firewall stateless o non stateful eseguono politiche in base alla sorgente del traffico, alla destinazione, alle porte e regole simili ignorando lo stack TCP o il datagramma del protocollo. Contrariamente ai firewall stateless, i firewall stateful, è in grado di analizzare i pacchetti rilevando pacchetti contraffatti, manipolazione MTU (Unità di trasmissione massima) e altre tecniche fornite da Nmap e altri software di scansione per aggirare la sicurezza del firewall. Poiché l'attacco di Natale è una manipolazione di pacchetti, è probabile che i firewall con stato lo rilevino mentre i firewall senza stato non lo sono, anche il sistema di rilevamento delle intrusioni rileverà questo attacco se configurato correttamente.
Modelli di temporizzazione:
Paranoico: -T0, estremamente lento, utile per bypassare IDS (Intrusion Detection Systems)
Subdolo: -T1, molto lento, utile anche per bypassare IDS (Intrusion Detection Systems)
Educato: -T2, neutro.
Normale: -T3, questa è la modalità predefinita.
Aggressivo: -T4, scansione veloce.
Pazzo: -T5, più veloce della tecnica di scansione aggressiva.
Nmap Xmas Scan esempi
L'esempio seguente mostra una scansione di Natale gentile con LinuxHint.
nmap -sX -T2linuxhint.com
Esempio di scansione di Natale aggressiva contro LinuxHint.com
nmap -sX -T4linuxhint.com
Applicando la bandiera -sV per il rilevamento della versione è possibile ottenere maggiori informazioni su porte specifiche e distinguere tra porte filtrate e filtrate, ma sebbene Xmas fosse considerata una tecnica di scansione invisibile, questa aggiunta potrebbe rendere la scansione più visibile ai firewall o agli IDS.
nmap -sV -sX -T4linux.lat
Regole di Iptables per bloccare la scansione di Natale
Le seguenti regole di iptables possono proteggerti da una scansione di Natale:
iptables-AINGRESSO-Ptcp--tcp-flagFIN, URG, PSH FIN, URG, PSH-JGOCCIOLAREiptables-AINGRESSO-Ptcp--tcp-flagTUTTO TUTTO-JGOCCIOLARE
iptables-AINGRESSO-Ptcp--tcp-flagTUTTO NESSUNO-JGOCCIOLARE
iptables-AINGRESSO-Ptcp--tcp-flagSYN,RST SYN,RST-JGOCCIOLARE
Conclusione
Sebbene la scansione di Natale non sia nuova e la maggior parte dei sistemi di difesa sia in grado di rilevarla diventando una tecnica obsoleta contro obiettivi ben protetti, è un ottimo modo per introdursi a segmenti TCP non comuni come PSH e URG e per capire il modo in cui Nmap analizza i pacchetti trarre conclusioni sugli obiettivi. Più che un metodo di attacco, questa scansione è utile per testare il firewall o il sistema di rilevamento delle intrusioni. Le regole iptables sopra menzionate dovrebbero essere sufficienti per fermare tali attacchi da host remoti. Questa scansione è molto simile alle scansioni NULL e FIN sia nel modo in cui funzionano che nella bassa efficacia contro i target protetti.
Spero che questo articolo ti sia stato utile come introduzione alla scansione di Natale con Nmap. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti con Linux, networking e sicurezza.
Articoli Correlati:
- Come cercare servizi e vulnerabilità con Nmap
- Utilizzo degli script nmap: cattura banner Nmap
- scansione di rete nmap
- nmap ping sweep
- bandiere nmap e cosa fanno
- Installazione e tutorial di OpenVAS Ubuntu
- Installazione di Nexpose Vulnerability Scanner su Debian/Ubuntu
- Iptable per principianti
Fonte principale: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html