การสแกน Nmap Xmas ถือเป็นการสแกนแบบลับๆ ซึ่งวิเคราะห์การตอบสนองต่อแพ็กเก็ต Xmas เพื่อกำหนดลักษณะของอุปกรณ์ตอบกลับ แต่ละระบบปฏิบัติการหรืออุปกรณ์เครือข่ายตอบสนองต่อแพ็กเก็ต Xmas ที่แตกต่างกัน โดยเปิดเผยข้อมูลในเครื่อง เช่น OS (ระบบปฏิบัติการ) สถานะพอร์ต และอื่นๆ ในปัจจุบัน ไฟร์วอลล์และระบบตรวจจับการบุกรุกจำนวนมากสามารถตรวจจับแพ็กเก็ต Xmas ได้ และไม่ใช่เทคนิคที่ดีที่สุดในการสแกนการลักลอบ แต่ก็มีประโยชน์อย่างยิ่งที่จะเข้าใจวิธีการทำงาน
ในบทความล่าสุดเกี่ยวกับ Nmap Stealth Scan ได้อธิบายวิธีสร้างการเชื่อมต่อ TCP และ SYN (ต้องอ่านหากคุณไม่รู้จัก) แต่แพ็กเก็ต จบ , ปะ และ URG มีความเกี่ยวข้องเป็นพิเศษสำหรับคริสต์มาสเพราะแพ็กเก็ตที่ไม่มี SYN, RST หรือ อนิจจา อนุพันธ์ในการรีเซ็ตการเชื่อมต่อ (RST) หากพอร์ตปิดและไม่มีการตอบสนองหากพอร์ตเปิดอยู่ ก่อนที่แพ็กเก็ตดังกล่าวจะไม่รวม FIN PSH และ URG ก็เพียงพอที่จะทำการสแกน
แพ็กเก็ต FIN, PSH และ URG:
PSH: บัฟเฟอร์ TCP อนุญาตให้ถ่ายโอนข้อมูลเมื่อคุณส่งมากกว่ากลุ่มที่มีขนาดสูงสุด หากบัฟเฟอร์ไม่เต็ม แฟล็ก PSH (PUSH) จะอนุญาตให้ส่งต่อไปโดยกรอกส่วนหัวหรือสั่งให้ TCP ส่งแพ็กเก็ต ผ่านแฟล็กนี้แอปพลิเคชันที่สร้างทราฟฟิกแจ้งข้อมูลจะต้องส่งทันทีปลายทางจะได้รับข้อมูลต้องส่งข้อมูลไปยังแอปพลิเคชันทันที
URG: แฟล็กนี้แจ้งเซ็กเมนต์เฉพาะเป็นการเร่งด่วนและต้องจัดลำดับความสำคัญ เมื่อเปิดใช้งานแฟล็ก ผู้รับจะอ่านเซ็กเมนต์ 16 บิตในส่วนหัว เซ็กเมนต์นี้ระบุข้อมูลเร่งด่วนจากไบต์แรก ปัจจุบันแฟล็กนี้แทบจะไม่ได้ใช้เลย
จบ: แพ็กเก็ต RST ได้อธิบายไว้ในบทช่วยสอนที่กล่าวถึงข้างต้น ( Nmap Stealth Scan ) ตรงกันข้ามกับแพ็กเก็ต RST แพ็กเก็ต FIN แทนที่จะแจ้งเกี่ยวกับการยกเลิกการเชื่อมต่อร้องขอจากโฮสต์ที่โต้ตอบและรอจนกว่าจะได้รับการยืนยันเพื่อยุติการเชื่อมต่อ
พอร์ตรัฐ
เปิด|กรองแล้ว: Nmap ตรวจไม่พบว่าพอร์ตนั้นเปิดอยู่หรือถูกกรอง แม้ว่าพอร์ตนั้นจะเปิดอยู่ก็ตาม การสแกน Xmas จะรายงานว่าเปิด|ตัวกรองแล้ว มันจะเกิดขึ้นเมื่อไม่มีการตอบกลับ (แม้หลังจากการส่งสัญญาณซ้ำ)
ปิด: Nmap ตรวจพบว่าพอร์ตถูกปิด มันเกิดขึ้นเมื่อการตอบสนองเป็นแพ็กเก็ต TCP RST
กรอง: Nmap ตรวจพบไฟร์วอลล์ที่กรองพอร์ตที่สแกน ซึ่งเกิดขึ้นเมื่อการตอบสนองเป็นข้อผิดพลาดที่ไม่สามารถเข้าถึงได้ของ ICMP (ประเภท 3, รหัส 1, 2, 3, 9, 10 หรือ 13) ตามมาตรฐาน RFC Nmap หรือการสแกน Xmas สามารถตีความสถานะพอร์ตได้
การสแกน Xmas เช่นเดียวกับการสแกน NULL และ FIN ไม่สามารถแยกแยะระหว่างพอร์ตที่ปิดและพอร์ตที่ถูกกรองดังที่กล่าวไว้ข้างต้นคือการตอบสนองของแพ็กเก็ตคือข้อผิดพลาด ICMP Nmap แท็กว่าถูกกรอง แต่ตามที่อธิบายไว้ในหนังสือ Nmap หากโพรบเป็น ถูกแบนโดยไม่มีการตอบสนอง ดูเหมือนว่าจะเปิดอยู่ ดังนั้น Nmap จึงแสดงพอร์ตที่เปิดอยู่และพอร์ตที่ถูกกรองบางรายการเป็น open|filtered
การป้องกันใดที่สามารถตรวจจับการสแกน Xmas ได้: ไฟร์วอลล์ไร้สัญชาติและไฟร์วอลล์แบบเก็บสถานะ:
ไฟร์วอลล์แบบไร้สถานะหรือแบบไม่ใช้สถานะดำเนินการตามนโยบายตามแหล่งที่มาของทราฟฟิก ปลายทาง พอร์ต และกฎที่คล้ายคลึงกัน โดยไม่สนใจสแต็ค TCP หรือดาตาแกรมของโปรโตคอล ตรงกันข้ามกับ Stateless firewalls, Stateful firewalls มันสามารถวิเคราะห์แพ็คเก็ตที่ตรวจจับแพ็กเก็ตปลอมแปลง การจัดการ MTU (Maximum Transmission Unit) และเทคนิคอื่นๆ ที่ Nmap และซอฟต์แวร์การสแกนอื่น ๆ จัดเตรียมไว้ให้เพื่อหลีกเลี่ยงการรักษาความปลอดภัยไฟร์วอลล์ เนื่องจากการโจมตีในช่วงคริสต์มาสเป็นการจัดการแพ็กเก็ต ไฟร์วอลล์ stateful มักจะตรวจจับมันได้ในขณะที่ไฟร์วอลล์ไร้สัญชาติไม่ใช่ Intrusion Detection System จะตรวจจับการโจมตีนี้ด้วยหากกำหนดค่าไว้อย่างเหมาะสม
แม่แบบเวลา:
หวาดระแวง: -T0 ช้ามาก มีประโยชน์ในการเลี่ยงผ่าน IDS (ระบบตรวจจับการบุกรุก)
ส่อเสียด: -T1 ช้ามาก ยังมีประโยชน์ในการเลี่ยงผ่าน IDS (ระบบตรวจจับการบุกรุก)
สุภาพ: -T2 เป็นกลาง
ปกติ: -T3 นี่คือโหมดเริ่มต้น
ก้าวร้าว: -T4 สแกนเร็ว
บ้า: -T5 เร็วกว่าเทคนิคการสแกนเชิงรุก
ตัวอย่างการสแกน Nmap Xmas
ตัวอย่างต่อไปนี้แสดงการสแกน Xmas แบบสุภาพเทียบกับ LinuxHint
nmap -sX -T2linuxhint.com 
ตัวอย่าง Aggressive Xmas Scan เทียบกับ LinuxHint.com
nmap -sX -T4linuxhint.com 
โดยติดธง -sV สำหรับการตรวจจับเวอร์ชัน คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับพอร์ตเฉพาะและแยกแยะระหว่างพอร์ตที่กรองแล้วและพอร์ตที่กรองแล้ว แต่ในขณะที่ Xmas ถือเป็นเทคนิคการสแกนแบบพรางตัว การเพิ่มนี้อาจทำให้ไฟร์วอลล์หรือ IDS มองเห็นการสแกนได้มากขึ้น
nmap -sV -sX -T4linux.lat 
กฎ Iptables เพื่อบล็อก Xmas scan
กฎ iptables ต่อไปนี้สามารถปกป้องคุณจากการสแกน Xmas:
iptables-ถึงป้อนข้อมูล-NStcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-NSหยดiptables-ถึงป้อนข้อมูล-NStcp--tcp-flagsALL ALL-NSหยด
iptables-ถึงป้อนข้อมูล-NStcp--tcp-flagsทั้งหมดไม่มี-NSหยด
iptables-ถึงป้อนข้อมูล-NStcp--tcp-flagsSYN, RST SYN, RST-NSหยด
บทสรุป
แม้ว่าการสแกน Xmas จะไม่ใช่เรื่องใหม่ และระบบป้องกันส่วนใหญ่สามารถตรวจพบว่ากลายเป็นเทคนิคที่ล้าสมัยสำหรับเป้าหมายที่ได้รับการป้องกันอย่างดี แต่ก็เป็นวิธีที่ดีในการแนะนำกลุ่ม TCP ที่ไม่ธรรมดา เช่น PSH และ URG และเพื่อทำความเข้าใจวิธีที่ Nmap วิเคราะห์แพ็กเก็ต ได้ข้อสรุปเกี่ยวกับเป้าหมาย การสแกนนี้มีประโยชน์มากกว่าวิธีการโจมตีในการทดสอบไฟร์วอลล์หรือระบบตรวจจับการบุกรุกของคุณ กฎ iptables ที่กล่าวถึงข้างต้นควรเพียงพอที่จะหยุดการโจมตีจากโฮสต์ระยะไกล การสแกนนี้คล้ายกับการสแกน NULL และ FIN มากทั้งในลักษณะการทำงานและประสิทธิภาพต่ำต่อเป้าหมายที่ได้รับการป้องกัน
ฉันหวังว่าคุณจะพบว่าบทความนี้มีประโยชน์ในการแนะนำ Xmas scan โดยใช้ Nmap ติดตาม LinuxHint เพื่อรับเคล็ดลับและการอัปเดตเพิ่มเติมสำหรับ Linux เครือข่ายและความปลอดภัย
บทความที่เกี่ยวข้อง:
- วิธีสแกนหาบริการและจุดอ่อนด้วย Nmap
- การใช้สคริปต์ nmap: แบนเนอร์ Nmap grab
- การสแกนเครือข่าย nmap
- nmap ping กวาด
- ธง nmap และสิ่งที่พวกเขาทำ
- การติดตั้งและการสอน OpenVAS Ubuntu
- การติดตั้ง Nexpose Vulnerability Scanner บน Debian/Ubuntu
- Iptables สำหรับผู้เริ่มต้น
ข้อมูลหลัก: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html