Escaneo de Navidad NMAP

Escaneo de Navidad NMAP

Este tutorial explica cómo ejecutar la técnica de escaneo de sigilo Xmas usando NMAP.

Nmap Navidad escaneo se consideró una exploración sigilosa que analiza las respuestas a Navidad paquetes para determinar la naturaleza del dispositivo de respuesta.

Cada sistema operativo o dispositivo de red responde de una manera diferente a Navidad paquetes que revelan información local, como el sistema operativo (sistema operativo), el estado de puerto y más.

Actualmente, muchos firewalls y sistemas de detección de intrusos pueden detectar Navidad paquetes, y no es la mejor técnica para llevar a cabo un escaneo sigiloso. Sin embargo, es extremadamente útil entender cómo funciona.

Después de leer este tutorial, el usuario comprenderá cómo Navidad, NULO, y ALETA los escaneos trabajan. Todas las instrucciones a continuación contienen capturas de pantalla, lo que facilita a los lectores comprender cómo se ejecutan los comandos NMAP.

Acerca del escaneo de Navidad

La mayoría de los firewalls son los conocidos como firewalls con estado. Tienen la capacidad de analizar paquetes sobre la marcha, contrario a la apátrida Firewall, que solo compara reglas coincidentes definidas.

Normalmente bloqueo de firewalls Síntoma bits o encabezados de paquetes TCP cuando se envían sin Ack brocas. El escaneo de Navidad consiste en limpiar el Síntoma encabezado del paquete TCP y reemplazándolo con ALETA, PSH, y Urgencia bits (o encabezados), sin pasar por el firewall.

En otras palabras, los encabezados de paquetes TCP que coinciden con las reglas de firewall se reemplazan por los encabezados que no coinciden.

El escaneo de Navidad es una antigua técnica de escaneo sigiloso, pero actualmente no es confiable, detectada por la mayoría de los firewalls y medidas anti-intrusión. Sin embargo, es reproducible y altamente educativo aprender sobre la estructura TCP.

En artículos anteriores como nuestro tutorial básico de NMAP, se describieron seis estados de puerto posibles.

Cuando nos referimos al Navidad escanear, solo hay tres posibles estados de puerto:

  • Abierto | Filtrado: NMAP no puede detectar si el puerto está abierto o filtrado. Incluso si el puerto está abierto, el escaneo de Navidad lo informará como abierto | Filtrado. Sucede cuando no se recibe respuesta (incluso después de retransmisiones).
  • Cerrado: NMAP detecta que el puerto está cerrado; sucede cuando la respuesta es un paquete TCP RST.
  • Filtrado: NMAP detecta un firewall que filtra los puertos escaneados; Ocurre cuando la respuesta es un error inalcanzable ICMP (tipo 3, código 1, 2, 3, 9, 10 o 13). Basado en las normas RFC NMAP o el escaneo de Navidad es capaz de interpretar el estado del puerto.

Como se puede entender en la lista anterior, el escaneo de Navidad, al igual que NULO y ALETA escaneos, no puede distinguir entre puertos abiertos y filtrados.

Si el objetivo no rechaza expresamente la conexión y simplemente deja caer el paquete sin responder, sin una respuesta de rechazo, el Navidad Scan no puede estar seguro de si el puerto está abierto o filtrado.

Cuando no hay una respuesta aparente de un firewall, los puertos pueden definirse como Abierto | Filtrado.

El usuario puede implementar banderas invasivas para diferenciar entre puertos abiertos y filtrados, pero no tiene sentido combinarlos con un escaneo sigiloso como Navidad.

Nota: Hoy, en la práctica, es probable que todos los objetivos sean detectados como cerrados o filtrados por la técnica de Navidad anticuada.

Ejecutando un escaneo de Navidad con NMAP

La sintaxis para ejecutar un escaneo de Navidad con nmap es el siguiente donde el -sx Flag le indica a NMAP que inicie un escaneo de Navidad, -T controla la plantilla de tiempo (explicada a continuación) y -V instruye verbosidad.

sudo nmap -sx -t -V

El ejemplo práctico a continuación muestra una exploración de Navidad contra el enrutador 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -V

Las plantillas de sincronización (-t) definen el nivel de agresividad, que van desde los tipos de escaneo más lentos hasta más rápidos.

Plantillas de tiempo

PLANTILLA BANDERA Funciones
Paranoico -T0 Extremadamente lento, útil para evitar IDS
Furtivo -T1 Lento, también útil para omitir IDS (sistemas de detección de intrusos)
Educado -T2 Neutral
Normal -T3 Modo por defecto
Agresivo -T4 Exploración rápida
Loco -T5 Más rápido

Escaneos nulos y aletas con nmap

Los tipos de exploración nulo y aleta aplican la misma técnica y también son útiles contra los firewalls sin estado.

Mientras que el escaneo de Navidad borra el Síntoma bandera o brote del paquete TCP y lo reemplaza con ALETA, PSH, y Urgencia encabezados o banderas, el escaneo nulo borra el bit syn o el encabezado sin reemplazarlo. Solo elimina el Síntoma bit (bloqueado por firewalls) del paquete TCP.

El escaneo de aletas borra el Síntoma encabezado y usa un ALETA uno.

La siguiente sintaxis pertenece a un escaneo de aleta especificado con el -SF bandera. Dónde <Plantilla> debe reemplazarse con uno de los niveles descritos en la tabla anterior y <Objetivo> con el objetivo real:

sudo nmap -sf -t -V

En el ejemplo práctico a continuación, el usuario inicia un escaneo de aletas contra el host 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -V

En el siguiente ejemplo, el escaneo nulo se instruye con el -sn bandera.

sudo nmap -sn -t2 192.168.0.103 -V

Todas estas técnicas explotaron la misma regla de RFC para aprender un estado de puerto de acuerdo con la respuesta.

El escaneo de syn sigiloso

Otras técnicas de escaneo sigiloso, como los escaneos SYN, interrumpen la comunicación antes de establecerla, evitando que los firewalls registren la interacción o reaccionan antes de un escaneo.

El Síntoma Scan, otro método de escaneo sigiloso, se implementa con el -ss bandera, como se muestra a continuación:

Este tipo de escaneo se explica profundamente en nuestro artículo NMAP Stealth Scan.

Fin, psh y bits de urg

Los escaneos de Navidad y aletas usan los siguientes bits:

  • PSH: Los búferes TCP permiten la transferencia de datos cuando envía más de un segmento con el tamaño máximo. Si el búfer no está lleno, la bandera PSH (push) le permite enviarlo de todos modos llenando el encabezado o instruyendo a TCP que envíe paquetes. A través de este indicador, el tráfico de generación de aplicaciones informa que los datos deben enviarse de inmediato, y el destino se informa que los datos deben enviarse inmediatamente a la aplicación.
  • URG: Esta bandera informa que los segmentos específicos son urgentes y deben ser priorizados. Cuando la bandera está habilitada, el receptor leerá un segmento de 16 bits en el encabezado. Este segmento indica los datos urgentes del primer byte. Actualmente, esta bandera es casi sin usar.
  • ALETA: Los primeros paquetes se explicaron en el tutorial mencionado anteriormente (Escaneo de sigilo nmap). Al contrario de los paquetes RST, los paquetes de aletas, en lugar de informar sobre la terminación de la conexión, lo solicita desde el host que interactúa y espere hasta que obtenga una confirmación para terminar la conexión.

Las reglas de iptables contra los escaneos de Navidad

Justo hoy, todos los firewalls están protegidos contra los escaneos de Navidad, NULL y FIN. Pero las reglas de los firewall contra dicha actividad son útiles para comprender cómo se abordan los paquetes de los firewalls.

iptable -a entrada -p tcp - -tcp -flags fin, urg, psh fin, urg, psh -j drop
iptables -a entrada -p tcp - -tcp -flags All -j Drop
iptables -a entrada -p tcp - -tcp -flags todos ninguno -J Drop
iptables -a entrada -p tcp - -tcp -flags syn, rst syn, rst -j drop

Conclusión

Si bien el escaneo de Navidad no es nuevo, y la mayoría de los sistemas de defensa son capaces de detectarlo, convirtiéndose en una técnica obsoleta contra objetivos bien protegidos, es una excelente manera de introducir segmentos TCP poco comunes como PSH y URG y comprender la forma en que NMAP Analiza paquetes para obtener conclusiones sobre objetivos.

Más que un método de ataque, este escaneo es útil para probar su firewall o sistema de detección de intrusos. Las reglas iptables mencionadas anteriormente deberían ser suficientes para detener tales ataques de hosts remotos. Este escaneo es muy similar a los escaneos nulos y de aletas tanto en la forma en que trabajan como en baja efectividad contra objetivos protegidos.

Como puede ver, cualquier usuario puede lanzar los escaneos de Navidad independientemente del nivel de conocimiento. Comprenderlos es bastante fácil para cualquier persona introducida a las redes. Sin embargo, es probable que falle como exploit para cualquier agujero de seguridad antiguo.

Espero que hayas encontrado este artículo útil para comprender los escaneos de Navidad con nmap. Sigue a Linux Sugerencia para obtener más consejos y actualizaciones sobre Linux, redes y seguridad.