Escaneo de Navidad de Nmap

Nmap Xmas Scan



El escaneo de Nmap Xmas se consideró un escaneo sigiloso que analiza las respuestas a los paquetes de Navidad para determinar la naturaleza del dispositivo de respuesta. Cada sistema operativo o dispositivo de red responde de una manera diferente a los paquetes de Navidad que revelan información local como SO (sistema operativo), estado del puerto y más. Actualmente, muchos firewalls y sistemas de detección de intrusiones pueden detectar paquetes de Navidad y no es la mejor técnica para realizar un escaneo sigiloso, sin embargo, es extremadamente útil para comprender cómo funciona.

En el último artículo sobre Nmap Stealth Scan se explicó cómo se establecen las conexiones TCP y SYN (debe leerlas si las desconoce) pero los paquetes FIN , Pensilvania y URG son especialmente relevantes para la Navidad porque los paquetes sin SYN, RST o POBRE DE MÍ derivados en un restablecimiento de conexión (RST) si el puerto está cerrado y no hay respuesta si el puerto está abierto. Ante la ausencia de tales paquetes, las combinaciones de FIN, PSH y URG son suficientes para realizar el escaneo.





Paquetes FIN, PSH y URG:

PSH: Los búferes TCP permiten la transferencia de datos cuando envía más de un segmento con el tamaño máximo. Si el búfer no está lleno, la bandera PSH (PUSH) permite enviarlo de todos modos llenando el encabezado o indicando a TCP que envíe paquetes. A través de esta bandera la aplicación que genera tráfico informa que los datos deben enviarse inmediatamente, el destino es informado, los datos deben enviarse inmediatamente a la aplicación.



URG: Esta bandera informa que los segmentos específicos son urgentes y deben ser priorizados, cuando la bandera está habilitada el receptor leerá un segmento de 16 bits en el encabezado, este segmento indica los datos urgentes del primer byte. Actualmente esta bandera está casi sin uso.



FIN: Los paquetes RST se explicaron en el tutorial mencionado anteriormente ( Escaneo sigiloso de Nmap ), a diferencia de los paquetes RST, los paquetes FIN, en lugar de informar sobre la terminación de la conexión, lo solicitan al host que interactúa y esperan hasta obtener una confirmación para terminar la conexión.



Estados del puerto

Abierto | filtrado: Nmap no puede detectar si el puerto está abierto o filtrado, incluso si el puerto está abierto, el escaneo de Navidad lo informará como abierto | filtrado, sucede cuando no se recibe respuesta (incluso después de retransmisiones).

Cerrado: Nmap detecta que el puerto está cerrado, sucede cuando la respuesta es un paquete TCP RST.



Filtrado: Nmap detecta un firewall que filtra los puertos escaneados, ocurre cuando la respuesta es un error inalcanzable de ICMP (tipo 3, código 1, 2, 3, 9, 10 o 13). Basado en los estándares RFC, Nmap o Xmas scan es capaz de interpretar el estado del puerto.

El escaneo de Navidad, al igual que el escaneo NULL y FIN no puede distinguir entre un puerto cerrado y filtrado, como se mencionó anteriormente, la respuesta del paquete es un error ICMP Nmap lo etiqueta como filtrado, pero como se explica en el libro de Nmap si la sonda es prohibido sin respuesta parece abierto, por lo tanto, Nmap muestra puertos abiertos y ciertos puertos filtrados como abiertos | filtrados

¿Qué defensas pueden detectar un escaneo de Navidad ?: Cortafuegos sin estado frente a cortafuegos con estado:

Los cortafuegos sin estado o sin estado llevan a cabo políticas de acuerdo con la fuente de tráfico, el destino, los puertos y reglas similares ignorando la pila TCP o el datagrama de protocolo. A diferencia de los cortafuegos sin estado, los cortafuegos con estado, pueden analizar paquetes que detectan paquetes falsificados, manipulación de MTU (Unidad máxima de transmisión) y otras técnicas proporcionadas por Nmap y otro software de escaneo para eludir la seguridad del cortafuegos. Dado que el ataque de Navidad es una manipulación de paquetes, es probable que los cortafuegos con estado lo detecten, mientras que los cortafuegos sin estado no lo son, el Sistema de detección de intrusiones también detectará este ataque si se configura correctamente.

Plantillas de tiempo:

Paranoico: -T0, extremadamente lento, útil para omitir IDS (sistemas de detección de intrusiones)
Furtivo: -T1, muy lento, también útil para eludir IDS (sistemas de detección de intrusiones)
Cortés: -T2, neutro.
Normal: -T3, este es el modo predeterminado.
Agresivo: -T4, escaneo rápido.
Loco: -T5, más rápido que la técnica de escaneo agresivo.

Ejemplos de Nmap Xmas Scan

El siguiente ejemplo muestra un escaneo de Navidad educado contra LinuxHint.

nmap -sX -T2linuxhint.com

Ejemplo de exploración de Navidad agresiva contra LinuxHint.com

nmap -sX -T4linuxhint.com

Aplicando la bandera -sV para la detección de versiones, puede obtener más información sobre puertos específicos y distinguir entre puertos filtrados y filtrados, pero aunque Xmas se consideraba una técnica de escaneo sigiloso, esta adición puede hacer que el escaneo sea más visible para los firewalls o IDS.

nmap -sV -sX -T4linux.lat

Reglas de iptables para bloquear el escaneo de Navidad

Las siguientes reglas de iptables pueden protegerlo de un escaneo de Navidad:

iptables-AAPORTE-pagtcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-jSOLTAR
iptables-AAPORTE-pagtcp--tcp-flagsTODO TODO-jSOLTAR
iptables-AAPORTE-pagtcp--tcp-flagsTODOS / NINGUNOS-jSOLTAR
iptables-AAPORTE-pagtcp--tcp-flagsSYN, RST SYN, RST-jSOLTAR

Conclusión

Si bien el escaneo de Navidad no es nuevo y la mayoría de los sistemas de defensa son capaces de detectar que se convierte en una técnica obsoleta contra objetivos bien protegidos, es una excelente forma de introducción a segmentos TCP poco comunes como PSH y URG y para comprender la forma en que Nmap analiza los paquetes. sacar conclusiones sobre los objetivos. Más que un método de ataque, este análisis es útil para probar su firewall o sistema de detección de intrusiones. Las reglas de iptables mencionadas anteriormente deberían ser suficientes para detener tales ataques desde hosts remotos. Este escaneo es muy similar a los escaneos NULL y FIN, tanto en la forma en que funcionan como en la baja efectividad contra objetivos protegidos.

Espero que este artículo le haya resultado útil como introducción al escaneo de Navidad con Nmap. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux, redes y seguridad.

Artículos relacionados:

  • Cómo buscar servicios y vulnerabilidades con Nmap
  • Uso de scripts de nmap: captura de banner de Nmap
  • escaneo de red nmap
  • barrido de ping nmap
  • banderas de nmap y lo que hacen
  • Instalación y tutorial de OpenVAS Ubuntu
  • Instalación de Nexpose Vulnerability Scanner en Debian / Ubuntu
  • Iptables para principiantes

Fuente principal: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html

Nmap

Categoría

Entradas Populares

¿Cómo usar 'desbordamiento oculto' y 'desbordamiento visible' en Tailwind?

Cómo volar en Wacky Wizards – Roblox

¿Cuál es la frecuencia de trabajo de Arduino UNO?

Cómo solucionar problemas de la cámara de Windows 11

Marco de datos de Pandas a JSON

Cómo usar la propiedad navigator.onLine en JavaScript

¿Qué es el método finalize() en Java y cómo anularlo?

Cómo actualizar el kernel de Raspberry Pi

SoftwareSerial Library en Arduino

Cómo seleccionar un ejemplo de confirmación con git

Convierta Raspberry Pi en una red privada virtual usando Hamachi

Cómo resolver el código de error 43 en Windows y reparar una GPU que funciona mal

Convertir PySpark DataFrame a JSON

Icono de mosaico de la pantalla de inicio de Google Chrome grande (Fijar) - Winhelponline

Cómo establecer las tolerancias de Kubernetes

¿Qué son las bibliotecas de tiempo de ejecución de Vulkan y es seguro eliminarlas?

Windows: Equivalente a Grep

¿Cómo informar sobre una imagen en mitad del viaje?

Cómo agregar video de Discord a Streamlabs

¿Cómo utilizar el desplazamiento, el enfoque y otros estados en viento de cola?