Scansione di Natale di Nmap

Nmap Xmas Scan



La scansione di Natale di Nmap era considerata una scansione furtiva che analizza le risposte ai pacchetti di Natale per determinare la natura del dispositivo di risposta. Ogni sistema operativo o dispositivo di rete risponde in modo diverso ai pacchetti di Natale rivelando informazioni locali come OS (sistema operativo), stato della porta e altro. Attualmente molti firewall e Intrusion Detection System possono rilevare i pacchetti di Natale e non è la tecnica migliore per effettuare una scansione invisibile, tuttavia è estremamente utile per capire come funziona.

Nell'ultimo articolo su Nmap Stealth Scan è stato spiegato come vengono stabilite le connessioni TCP e SYN (da leggere se sconosciute) ma i pacchetti FINE , PAPÀ e URG sono particolarmente importanti per il Natale perché i pacchetti senza SYN, RST o ALAS derivate in un reset della connessione (RST) se la porta è chiusa e nessuna risposta se la porta è aperta. Prima dell'assenza di tali pacchetti sono sufficienti le combinazioni FIN, PSH e URG per effettuare la scansione.







Pacchetti FIN, PSH e URG:

PS: I buffer TCP consentono il trasferimento dei dati quando si invia più di un segmento con dimensioni massime. Se il buffer non è pieno il flag PSH (PUSH) consente di inviarlo comunque riempiendo l'intestazione o indicando al TCP di inviare i pacchetti. Attraverso questo flag l'applicazione che genera traffico informa che i dati devono essere inviati immediatamente, la destinazione è informata che i dati devono essere inviati immediatamente all'applicazione.



URG: Questo flag informa che segmenti specifici sono urgenti e devono essere prioritari, quando il flag è abilitato il ricevitore leggerà un segmento di 16 bit nell'intestazione, questo segmento indica i dati urgenti dal primo byte. Attualmente questa bandiera è quasi inutilizzata.



FINE: I pacchetti RST sono stati spiegati nel tutorial menzionato sopra ( Scansione invisibile di Nmap ), contrariamente ai pacchetti RST, i pacchetti FIN invece di informare sulla terminazione della connessione lo richiedono dall'host interagente e aspettano di ottenere una conferma per terminare la connessione.





Stati di approdo

Apri|filtrato: Nmap non è in grado di rilevare se la porta è aperta o filtrata, anche se la porta è aperta la scansione di Natale la segnalerà come aperta|filtrata, accade quando non viene ricevuta alcuna risposta (anche dopo le ritrasmissioni).

Chiuso: Nmap rileva che la porta è chiusa, accade quando la risposta è un pacchetto TCP RST.



Filtrato: Nmap rileva un firewall che filtra le porte scansionate, accade quando la risposta è un errore ICMP irraggiungibile (tipo 3, codice 1, 2, 3, 9, 10 o 13). Basato sugli standard RFC, Nmap o Xmas scan è in grado di interpretare lo stato della porta

La scansione di Natale, proprio come la scansione NULL e FIN non può distinguere tra una porta chiusa e filtrata, come menzionato sopra, la risposta del pacchetto è un errore ICMP Nmap lo contrassegna come filtrato, ma come spiegato su Nmap book se la sonda è bannato senza risposta sembra aperto, quindi Nmap mostra le porte aperte e alcune porte filtrate come aperte|filtrate

Quali difese possono rilevare una scansione di Natale?: Firewall stateless vs Firewall stateful:

I firewall stateless o non stateful eseguono politiche in base alla sorgente del traffico, alla destinazione, alle porte e regole simili ignorando lo stack TCP o il datagramma del protocollo. Contrariamente ai firewall stateless, i firewall stateful, è in grado di analizzare i pacchetti rilevando pacchetti contraffatti, manipolazione MTU (Unità di trasmissione massima) e altre tecniche fornite da Nmap e altri software di scansione per aggirare la sicurezza del firewall. Poiché l'attacco di Natale è una manipolazione di pacchetti, è probabile che i firewall con stato lo rilevino mentre i firewall senza stato non lo sono, anche il sistema di rilevamento delle intrusioni rileverà questo attacco se configurato correttamente.

Modelli di temporizzazione:

Paranoico: -T0, estremamente lento, utile per bypassare IDS (Intrusion Detection Systems)
Subdolo: -T1, molto lento, utile anche per bypassare IDS (Intrusion Detection Systems)
Educato: -T2, neutro.
Normale: -T3, questa è la modalità predefinita.
Aggressivo: -T4, scansione veloce.
Pazzo: -T5, più veloce della tecnica di scansione aggressiva.

Nmap Xmas Scan esempi

L'esempio seguente mostra una scansione di Natale gentile con LinuxHint.

nmap -sX -T2linuxhint.com

Esempio di scansione di Natale aggressiva contro LinuxHint.com

nmap -sX -T4linuxhint.com

Applicando la bandiera -sV per il rilevamento della versione è possibile ottenere maggiori informazioni su porte specifiche e distinguere tra porte filtrate e filtrate, ma sebbene Xmas fosse considerata una tecnica di scansione invisibile, questa aggiunta potrebbe rendere la scansione più visibile ai firewall o agli IDS.

nmap -sV -sX -T4linux.lat

Regole di Iptables per bloccare la scansione di Natale

Le seguenti regole di iptables possono proteggerti da una scansione di Natale:

iptables-AINGRESSO-Ptcp--tcp-flagFIN, URG, PSH FIN, URG, PSH-JGOCCIOLARE
iptables-AINGRESSO-Ptcp--tcp-flagTUTTO TUTTO-JGOCCIOLARE
iptables-AINGRESSO-Ptcp--tcp-flagTUTTO NESSUNO-JGOCCIOLARE
iptables-AINGRESSO-Ptcp--tcp-flagSYN,RST SYN,RST-JGOCCIOLARE

Conclusione

Sebbene la scansione di Natale non sia nuova e la maggior parte dei sistemi di difesa sia in grado di rilevarla diventando una tecnica obsoleta contro obiettivi ben protetti, è un ottimo modo per introdursi a segmenti TCP non comuni come PSH e URG e per capire il modo in cui Nmap analizza i pacchetti trarre conclusioni sugli obiettivi. Più che un metodo di attacco, questa scansione è utile per testare il firewall o il sistema di rilevamento delle intrusioni. Le regole iptables sopra menzionate dovrebbero essere sufficienti per fermare tali attacchi da host remoti. Questa scansione è molto simile alle scansioni NULL e FIN sia nel modo in cui funzionano che nella bassa efficacia contro i target protetti.

Spero che questo articolo ti sia stato utile come introduzione alla scansione di Natale con Nmap. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti con Linux, networking e sicurezza.

Articoli Correlati:

  • Come cercare servizi e vulnerabilità con Nmap
  • Utilizzo degli script nmap: cattura banner Nmap
  • scansione di rete nmap
  • nmap ping sweep
  • bandiere nmap e cosa fanno
  • Installazione e tutorial di OpenVAS Ubuntu
  • Installazione di Nexpose Vulnerability Scanner su Debian/Ubuntu
  • Iptable per principianti

Fonte principale: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html