Nmap Xmasスキャンは、Xmasパケットへの応答を分析して、応答デバイスの性質を判別するステルススキャンと見なされていました。各オペレーティングシステムまたはネットワークデバイスは、OS(オペレーティングシステム)、ポート状態などのローカル情報を明らかにするクリスマスパケットに異なる方法で応答します。現在、多くのファイアウォールと侵入検知システムがクリスマスパケットを検出でき、ステルススキャンを実行するのに最適な手法ではありませんが、それがどのように機能するかを理解することは非常に役立ちます。
Nmapステルススキャンに関する前回の記事では、TCP接続とSYN接続がどのように確立されるか(不明な場合は必ず読む必要があります)が説明されましたが、パケットは 終わり 、 PA と URG パケットがないため、クリスマスに特に関連します SYN、RST また ALAS ポートが閉じている場合は接続リセット(RST)の派生物であり、ポートが開いている場合は応答がありません。このようなパケットが存在しない前は、スキャンを実行するにはFIN、PSH、およびURGの組み合わせで十分です。
FIN、PSH、およびURGパケット:
PSH: TCPバッファーを使用すると、最大サイズのセグメントを超えて送信する場合にデータ転送が可能になります。バッファがいっぱいでない場合、フラグPSH(PUSH)は、ヘッダーを埋めるか、TCPにパケットを送信するように指示することにより、とにかくバッファを送信することを許可します。このフラグを介して、トラフィックを生成するアプリケーションは、データをすぐに送信する必要があることを通知し、宛先は、データをアプリケーションにすぐに送信する必要があることを通知します。
URG: このフラグは、特定のセグメントが緊急であり、優先順位を付ける必要があることを通知します。フラグを有効にすると、受信者はヘッダーの16ビットセグメントを読み取ります。このセグメントは、最初のバイトからの緊急データを示します。現在、このフラグはほとんど使用されていません。
終わり: RSTパケットは、上記のチュートリアルで説明されています( Nmapステルススキャン )、RSTパケットとは異なり、FINパケットは、接続の終了を通知するのではなく、相互作用するホストに要求し、接続を終了するための確認を取得するまで待機します。
ポートの状態
開く|フィルタリング: Nmapは、ポートが開いているかフィルタリングされているかを検出できません。ポートが開いていても、Xmasスキャンはそれをopen | filteredとして報告します。これは、応答が受信されない場合(再送信後でも)に発生します。
閉まっている: Nmapは、ポートが閉じていることを検出します。これは、応答がTCPRSTパケットの場合に発生します。
フィルタリング: Nmapは、スキャンされたポートをフィルタリングするファイアウォールを検出します。これは、応答がICMP到達不能エラー(タイプ3、コード1、2、3、9、10、または13)の場合に発生します。 RFC標準に基づいて、NmapまたはXmasスキャンはポートの状態を解釈できます
Xmasスキャンは、前述のように、NULLスキャンとFINスキャンで閉じたポートとフィルタリングされたポートを区別できないのと同様に、パケット応答はICMPエラーであり、Nmapはフィルタリング済みとしてタグ付けしますが、プローブが応答なしで禁止されたため、開いているように見えるため、Nmapは開いているポートと特定のフィルターされたポートをopen | filteredとして表示します
Xmasスキャンを検出できる防御策は何ですか?:ステートレスファイアウォールとステートフルファイアウォール:
ステートレスまたは非ステートフルファイアウォールは、トラフィックの送信元、宛先、ポート、およびTCPスタックまたはプロトコルデータグラムを無視する同様のルールに従ってポリシーを実行します。ステートレスファイアウォール、ステートフルファイアウォールとは異なり、偽造パケットを検出するパケット、MTU(Maximum Transmission Unit)操作、およびファイアウォールのセキュリティをバイパスするためにNmapやその他のスキャンソフトウェアによって提供されるその他の手法を分析できます。クリスマス攻撃はパケットの操作であるため、ステートフルファイアウォールはパケットを検出する可能性がありますが、ステートレスファイアウォールは検出しない可能性が高いため、適切に構成されている場合、侵入検知システムもこの攻撃を検出します。
タイミングテンプレート:
妄想: -T0、非常に低速、IDS(侵入検知システム)をバイパスするのに便利
卑劣な: -T1は非常に遅く、IDS(侵入検知システム)をバイパスするのにも役立ちます
丁寧: -T2、ニュートラル。
普通: -T3、これはデフォルトのモードです。
攻撃的: -T4、高速スキャン。
非常識: -T5、アグレッシブスキャン技術よりも高速。
Nmap XmasScanの例
次の例は、LinuxHintに対する丁寧なXmasスキャンを示しています。
nmap -sX -T2linuxhint.com 
LinuxHint.comに対する積極的なクリスマススキャンの例
nmap -sX -T4linuxhint.com 
フラグを適用することによって -sV バージョン検出では、特定のポートに関する詳細情報を取得し、フィルター処理されたポートとフィルター処理されたポートを区別できますが、Xmasはステルススキャン手法と見なされていましたが、この追加により、ファイアウォールまたはIDSからスキャンが見やすくなる可能性があります。
nmap -sV -sX -T4linux.lat 
XmasスキャンをブロックするIptablesルール
次のiptablesルールは、Xmasスキャンからユーザーを保護することができます。
iptables-に入力-NStcp--tcp-フラグFIN、URG、PSH FIN、URG、PSH-NS落とすiptables-に入力-NStcp--tcp-フラグすべてすべて-NS落とす
iptables-に入力-NStcp--tcp-フラグすべてなし-NS落とす
iptables-に入力-NStcp--tcp-フラグSYN、RST SYN、RST-NS落とす
結論
Xmasスキャンは新しいものではなく、ほとんどの防御システムは、十分に保護されたターゲットに対して廃止された手法になることを検出できますが、PSHやURGなどの一般的でないTCPセグメントを紹介し、Nmapがパケットを分析する方法を理解するための優れた方法です。ターゲットに関する結論を得る。このスキャンは、攻撃方法だけでなく、ファイアウォールや侵入検知システムのテストにも役立ちます。上記のiptablesルールは、リモートホストからのこのような攻撃を阻止するのに十分なはずです。このスキャンは、NULLおよびFINスキャンと非常によく似ており、動作方法と保護されたターゲットに対する有効性が低くなっています。
この記事が、Nmapを使用したXmasスキャンの概要としてお役に立てば幸いです。 Linux、ネットワーク、セキュリティに関するその他のヒントやアップデートについては、LinuxHintをフォローしてください。
関連記事:
- Nmapを使用してサービスと脆弱性をスキャンする方法
- nmapスクリプトの使用:Nmapバナーグラブ
- nmapネットワークスキャン
- nmappingスイープ
- nmapフラグとその機能
- OpenVASUbuntuのインストールとチュートリアル
- Debian / UbuntuへのNexpose脆弱性スキャナーのインストール
- 初心者向けのIptables
主な情報源: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html