סריקת חג המולד של Nmap נחשבה לסריקה חמקנית המנתחת תגובות לחבילות חג המולד כדי לקבוע את אופיו של המכשיר המשיב. כל מערכת הפעלה או מכשיר רשת מגיבה בצורה שונה לחבילות חג המולד החושפות מידע מקומי כגון מערכת הפעלה (מערכת הפעלה), מצב יציאה ועוד. נכון לעכשיו חומות אש רבות ומערכת גילוי חדירות יכולות לזהות מנות חג המולד וזו לא הטכניקה הטובה ביותר לבצע סריקת התגנבות, אך זה מאוד שימושי להבין איך זה עובד.
במאמר האחרון בנושא Nmap Stealth Scan הוסבר כיצד נוצרים חיבורי TCP ו- SYN (חובה לקרוא אם לא ידוע לך) אך החבילות סוֹף , הרשות הפלסטינית ו URG רלוונטיים במיוחד לחג המולד מכיוון שמנות ללא SYN, RST אוֹ אבוי נגזרות באיפוס חיבור (RST) אם היציאה סגורה ואין תגובה אם היציאה פתוחה. לפני היעדר מנות כאלה שילובים של FIN, PSH ו- URG מספיקים לביצוע הסריקה.
מנות FIN, PSH ו- URG:
PSH: מאגרי TCP מאפשרים העברת נתונים כאשר אתה שולח יותר מקטע בגודל מקסימלי. אם המאגר אינו מלא, PSH הדגל (PUSH) מאפשר לשלוח אותו בכל זאת על ידי מילוי הכותרת או הוראה ל- TCP לשלוח מנות. באמצעות דגל זה האפליקציה המייצרת תנועה מודיעה כי יש לשלוח את הנתונים באופן מיידי, יש לשלוח מידע ישיר ליעד לאפליקציה באופן מיידי.
URG: דגל זה מודיע שקטעים ספציפיים דחופים ויש לתת להם עדיפות, כאשר הדגל מופעל המקלט יקרא קטע של 16 סיביות בכותרת, קטע זה מציין את הנתונים הדחופים מהבייט הראשון. כרגע הדגל הזה כמעט ואינו בשימוש.
סוֹף: מנות RST הוסברו במדריך שהוזכר לעיל ( סריקת התגנבות Nmap ), בניגוד למנות RST, מנות FIN במקום להודיע על סיום החיבור מבקשות זאת מהמארח האינטראקטיבי ומחכה עד לקבלת אישור להפסקת החיבור.
מדינות נמל
פתח | מסונן: Nmap לא יכול לזהות אם היציאה פתוחה או מסוננת, גם אם היציאה פתוחה סריקת חג המולד תדווח עליה כפתוחה | מסונן, זה קורה כאשר לא מתקבלת תגובה (גם לאחר שידורים חוזרים).
סָגוּר: Nmap מזהה שהיציאה סגורה, זה קורה כשהתגובה היא חבילת TCP RST.
מְסוּנָן: Nmap מזהה חומת אש שמסננת את היציאות הסרוקות, זה קורה כשהתגובה היא שגיאה בלתי ניתנת להשגה של ICMP (סוג 3, קוד 1, 2, 3, 9, 10 או 13). בהתבסס על תקני RFC Nmap או סריקת חג המולד מסוגלים לפרש את מצב היציאה
סריקת חג המולד, כשם שסריקת NULL ו- FIN לא יכולה להבחין בין יציאה סגורה ומסננת, כפי שצוין לעיל, היא שתגובת המנה היא שגיאת ICMP Nmap מתייגת אותה כמסננת, אך כפי שהוסבר בספר Nmap אם החללית היא נאסר ללא תגובה נראה פתוח, לכן Nmap מציג יציאות פתוחות ויציאות מסוננות מסוימות כפתוחות | מסוננות
אילו הגנות יכולות לזהות סריקת חג המולד?: חומות אש חסרות מצב מול חומות אש סטטאליות:
חומות אש חסרות מדינה או לא סטטוס מבצעות מדיניות בהתאם למקור התנועה, היעד, היציאות וכללים דומים תוך התעלמות ממחסנית TCP או פרוטוקול הנתונים. בניגוד לחומות אש חסרות מצב, חומות אש Stateful, היא יכולה לנתח מנות המזהות מנות מזויפות, מניפולציות MTU (יחידת שידור מרבית) וטכניקות אחרות המסופקות על ידי Nmap ותוכנות סריקה אחרות כדי לעקוף את אבטחת חומת האש. מכיוון שהתקפת חג המולד היא מניפולציה של מנות שחומות אש סטטטיות צפויות לזהות אותה בעוד שחומות אש חסרות מצב אינן, מערכת גילוי חדירה תזהה גם התקפה זו אם היא מוגדרת כראוי.
תבניות תזמון:
פרנואיד: -T0, איטי במיוחד, שימושי לעקיפת מזהים (מערכות גילוי חדירה)
מִתגַנֵב: -T1, איטי מאוד, שימושי גם לעקיפת מזהים (מערכות גילוי חדירה)
מְנוּמָס: -T2, ניטרלי.
נוֹרמָלִי: -T3, זהו מצב ברירת המחדל.
תוֹקפָּנִי: -T4, סריקה מהירה.
מטורף: -T5, מהיר יותר מטכניקת סריקה אגרסיבית.
Nmap סריקות חג המולד דוגמאות
הדוגמה הבאה מציגה סריקת חג המולד מנומסת נגד LinuxHint.
nmap -sX -T2linuxhint.com 
דוגמה לסריקת חג המולד אגרסיבית נגד LinuxHint.com
nmap -sX -T4linuxhint.com 
על ידי החלת הדגל -sV לזיהוי גרסאות אתה יכול לקבל מידע נוסף על יציאות ספציפיות ולהבחין בין יציאות מסוננות ומסוננות, אך בעוד חג המולד נחשב לטכניקת סריקת התגנבות תוספת זו עשויה להפוך את הסריקה לגלויה יותר לחומות אש או IDS.
nmap -sV -sX -T4linux.lat 
כללי Iptables לחסימת סריקת חג המולד
כללי iptables הבאים יכולים להגן עליך מפני סריקת חג המולד:
iptables-לקֶלֶט-ptcp-tcp-flagsFIN, URG, PSH FIN, URG, PSH-jיְרִידָהiptables-לקֶלֶט-ptcp-tcp-flagsהכל הכל-jיְרִידָה
iptables-לקֶלֶט-ptcp-tcp-flagsהכל אף אחד-jיְרִידָה
iptables-לקֶלֶט-ptcp-tcp-flagsSYN, RST SYN, RST-jיְרִידָה
סיכום
למרות שסריקת חג המולד אינה חדשה ורוב מערכות ההגנה מסוגלות לזהות שהיא הופכת לטכניקה מיושנת נגד מטרות מוגנות היטב, היא מהווה דרך מצוינת להכיר מקטעי TCP נדירים כמו PSH ו- URG ולהבין את האופן שבו Nmap מנתחת מנות לקבל מסקנות על מטרות. יותר משיטת התקפה סריקה זו שימושית לבדיקת חומת האש שלך או מערכת גילוי חדירות. כללי iptables שהוזכרו לעיל אמורים להספיק כדי לעצור התקפות כאלה ממארחים מרוחקים. סריקה זו דומה מאוד לסריקות NULL ו- FIN הן באופן הפעולה והן ביעילות נמוכה כנגד מטרות מוגנות.
אני מקווה שמצאת מאמר זה שימושי כמבוא לסריקת חג המולד באמצעות Nmap. המשך לעקוב אחר LinuxHint לקבלת טיפים ועדכונים נוספים בנוגע לינוקס, רשתות ואבטחה.
מאמרים קשורים:
- כיצד לסרוק שירותים ופגיעות באמצעות Nmap
- שימוש בסקריפטים nmap: תפוס באנר Nmap
- סריקת רשת nmap
- לטאטא פינג nmap
- דגלי nmap ומה הם עושים
- התקנה והדרכה של OpenVAS אובונטו
- התקנת סורק הפגיעות של Nexpose ב- Debian/Ubuntu
- Iptables למתחילים
מקור עיקרי: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html