NMAP SCAN

Julien Dumas
NMAP SCAN

Ce tutoriel explique comment exécuter la technique de balayage de furtivité de Noël à l'aide de NMAP.

Nmap Noël Le scan était considéré comme un scan furtif qui analyse les réponses à Noël paquets pour déterminer la nature du dispositif de réponse.

Chaque système d'exploitation ou périphérique réseau répond d'une manière différente de Noël paquets révélant des informations locales, telles que le système d'exploitation (système d'exploitation), l'État du port, et plus.

Actuellement, de nombreux pare-feu et systèmes de détection d'intrusion peuvent détecter Noël paquets, et ce n'est pas la meilleure technique pour effectuer une analyse furtive. Pourtant, il est extrêmement utile de comprendre comment cela fonctionne.

Après avoir lu ce tutoriel, l'utilisateur comprendra comment Noël, NUL, et AILETTE Les scans fonctionnent. Toutes les instructions ci-dessous contiennent des captures d'écran, ce qui permet aux lecteurs de comprendre comment les commandes NMAP sont exécutées.

À propos du scan de Noël

La plupart des pare-feu sont ce que l'on appelle des pare-feu d'état. Ils ont la capacité d'analyser les paquets à la volée, contrairement à apatride pare-feu, qui ne compare que les règles de correspondance définies.

Bloc de pare-feu sans état normal Syn bits ou en-têtes des paquets TCP lorsqu'ils sont envoyés sans Ack morceaux. Le scan de Noël consiste à effacer le Syn en-tête du paquet TCP et le remplacer par AILETTE, Psh, et Urger bits (ou en-têtes), contournant le pare-feu.

En d'autres termes, les en-têtes de paquets TCP correspondant aux règles de pare-feu sont remplacées par des en-têtes ne correspondant pas aux règles.

Le scan de Noël est une ancienne technique de balayage furtif, mais actuellement non fiable, détectée par la plupart des pare-feu et des mesures anti-intrusion. Pourtant, il est reproductible et très éducatif pour en savoir plus sur la structure TCP.

Dans des articles précédents comme notre tutoriel NMAP Basics, NMAP six états de port possibles ont été décrits.

Lorsque nous nous référons au Noël scan, il n'y a que trois états de port possibles:

  • Ouver | filtré: NMAP ne peut pas détecter si le port est ouvert ou filtré. Même si le port est ouvert, l'analyse de Noël le rapportera comme ouvert | filtré. Cela se produit lorsqu'aucune réponse n'est reçue (même après les retransmissions).
  • Fermé: NMAP détecte que le port est fermé; Cela se produit lorsque la réponse est un paquet TCP.
  • Filtré: NMAP détecte un pare-feu filtrant les ports numérisés; Cela se produit lorsque la réponse est une erreur inaccessible ICMP (type 3, code 1, 2, 3, 9, 10 ou 13). Sur la base des normes RFC, NMAP ou le scan de Noël est capable d'interpréter l'état du port.

Comme on peut le comprendre de la liste précédente, le scan de Noël, tout comme NUL et AILETTE scans, ne peut pas distinguer les ports ouverts et filtrés.

Si la cible ne refuse pas expressément la connexion et laisse tomber le paquet sans répondre, sans réponse de rejet, la Noël Le scan ne peut pas être sûr si le port est ouvert ou filtré.

Lorsqu'il n'y a pas de réponse apparente d'un pare-feu, les ports peuvent être définis comme ouvert | filtré.

L'utilisateur peut implémenter des drapeaux invasifs pour différencier les ports ouverts et filtrés, mais il n'y a aucun sens à les combiner avec un scan furtif comme Noël.

Note: Aujourd'hui, dans la pratique, toutes les cibles sont susceptibles d'être détectées comme fermées ou filtrées par la technique de Noël obsolète.

Exécution d'une analyse de Noël avec NMAP

La syntaxe pour exécuter une analyse de Noël avec NMAP est la suivante où le -sx Flag demande à NMAP de lancer un scan de Noël, -T contrôle le modèle de synchronisation (expliqué ci-dessous) et -V instruit la verbosité.

sudo nmap -sx -t -V

L'exemple pratique ci-dessous montre un scan de Noël contre le routeur 192.168.0.1.

sudo nmap -sx -t2 192.168.0.1 -v

Les modèles de synchronisation (-T) définissent le niveau d'agressivité, allant des types de balayage les plus lents au plus rapides.

Modèles de synchronisation

MODÈLE DRAPEAU LES FONCTIONS
Paranoïaque -T0 Extrêmement lent, utile pour contourner les ID
Sournois -T1 Lent, également utile pour contourner les ID (systèmes de détection d'intrusion)
Poli -T2 Neutre
Normal -T3 Mode par défaut
Agressif -T4 Balayage rapide
Fou -T5 Plus rapide

NULL et NIP SCANS AVEC NMAP

Les types de numérisation nul et nager appliquent la même technique et sont également utiles contre les pare-feu sans état.

Tandis que le scan de Noël efface le Syn indicateur ou bit du paquet TCP et le remplace par AILETTE, Psh, et Urger en-têtes ou drapeaux, le balayage nul efface le bit de synchronisation ou l'en-tête sans le remplacer. Il supprime seulement le Syn bit (bloqué par pare-feu) du paquet TCP.

L'analyse de la nageoire efface le Syn en-tête et utilise un AILETTE un.

La syntaxe suivante appartient à une analyse d'ailettes spécifiée avec le -SF drapeau. Où <Modèle> doit être remplacé par l'un des niveaux décrits dans le tableau précédent et <Cible> avec la cible réelle:

sudo nmap -sf -t -V

Dans l'exemple pratique ci-dessous, l'utilisateur lance une analyse d'ailettes contre l'hôte 192.168.0.1:

sudo nmap -sf -t3 192.168.0.1 -v

Dans l'exemple suivant, le scan nul est instruit avec le -sn drapeau.

sudo nmap -sn -t2 192.168.0.103 -v

Toutes ces techniques ont exploité la même règle RFC pour apprendre un état de port en fonction de la réponse.

Le scan Syn Stealth

D'autres techniques de balayage furtif, comme les scans SYN, interrompent la communication avant de s'établir, empêchant les pare-feu de journaliser l'interaction ou de réagir avant un scan.

Le Syn Scan, une autre méthode de numérisation furtive, est implémentée avec le -SS drapeau, comme indiqué ci-dessous:

Ce type de scan est profondément expliqué dans notre article NMAP Scanal Stealth.

Bits Fin, PSH et Urg

Les scanneaux de Noël et des nageoires utilisent les bits suivants:

  • PSH: Les tampons TCP permettent le transfert de données lorsque vous envoyez plus qu'un segment de taille maximale. Si le tampon n'est pas plein, le drapeau PSH (push) lui permet de l'envoyer de toute façon en remplissant l'en-tête ou en demandant à TCP d'envoyer des paquets. Grâce à ce drapeau, l'application générant le trafic informe que les données doivent être envoyées immédiatement et la destination est informée que les données doivent être envoyées immédiatement à l'application.
  • Urg: Ce drapeau informe que les segments spécifiques sont urgents et doivent être prioritaires. Lorsque le drapeau est activé, le récepteur lira un segment de 16 bits dans l'en-tête. Ce segment indique les données urgentes du premier octet. Actuellement, ce drapeau est presque inutilisé.
  • AILETTE: De premiers paquets ont été expliqués dans le tutoriel mentionné ci-dessus (NMAP Furalth Scan). Contrairement aux premiers paquets, les paquets FIN, plutôt que d'informer la terminaison de la connexion, le demande à l'hôte en interaction et attendez jusqu'à ce que.

Règles iptables contre les scans de Noël

Juste aujourd'hui, tous les pare-feu sont protégés contre les scanneaux de Noël, nuls et nagers. Mais les règles du pare-feu contre une telle activité sont utiles pour comprendre comment les paquets sont abordés par les pare-feu.

iptables -a entrée -p TCP - TCP-FLAGS FIN, URG, PSH FIN, URG, PSH -J DROP
iptables -a entrée -p tcp --tcp-flags all -j drop
iptables -a entrée -p tcp --tcp-plags tout non -j drop
iptables -a entrée -p tcp --tcp-flags syn, RST Syn, RST -J Drop

Conclusion

Bien que le scan de Noël ne soit pas nouveau et que la plupart des systèmes de défense sont capables de le détecter, devenant une technique obsolète contre des cibles bien protégées, c'est un excellent moyen d'introduire des segments TCP inhabituels comme PSH et URG et de comprendre la façon dont NMAP NMAP Analyse les paquets pour obtenir des conclusions sur les cibles.

Plus qu'une méthode d'attaque, ce scan est utile pour tester votre pare-feu ou votre système de détection d'intrusion. Les règles iptables mentionnées précédemment devraient être suffisantes pour arrêter ces attaques des hôtes éloignés. Ce scan est très similaire aux scans nul et nager à la fois de la manière dont ils travaillent et de faible efficacité contre les cibles protégées.

Comme vous pouvez le voir, les analyses de Noël peuvent être lancées par n'importe quel utilisateur indépendamment du niveau de connaissance. Les comprendre est assez facile pour toute personne présentée au réseautage. Pourtant, il est susceptible d'échouer comme chaque exploit pour tout trou de sécurité ancienne.

J'espère que vous avez trouvé cet article utile pour comprendre les scans de Noël avec NMAP. Continuez à suivre l'astuce Linux pour plus de conseils et de mises à jour sur Linux, la mise en réseau et la sécurité.

Git
Comment fonctionne Git?
Le travail GIT se compose de la «zone de travail» pour ajouter des modifications, «l'indice de mise ...
Nathan Blanc
php
Comment ajouter à un tableau en php?
Les tableaux sont importants pour conserver différents types de données en un seul endroit. Suivez c...
Mohamed Benoit
c Sharp
Que sont les séquences d'évasion en C #
La séquence d'échappement en C # est une séquence de caractères qui représente une signification par...
Lena Martinez
Oracle Linux
Comment installer et utiliser le pack d'extension Oracle VirtualBox?
Nathan Blanc
Windows OS
Quelle est la différence entre Windows Top 10 Home et Pro
Julien Dumas
c Sharp
Qu'est-ce que le système.Espace de noms IO en C #
Julien Dumas
Base de données Oracle
Oracle Fusion est-il considéré comme mieux que SAP?
Sarah Roux
AWS
Comment utiliser le cycle de vie des instances dans AWS?
Ines Dubois
golang
Quels sont les types de données à Golang
Sarah Roux
Powershell
Comment utiliser les opérateurs de comparaison dans PowerShell?
Ethan Guillot
html
Comment Flexbox peut-il être utilisé pour créer une barre de navigation?
Zoe Martinez
AWS
Quelle est la différence entre AWS Aurora et MySQL?
Gabriel Bernard
Docker
Comment arrêter tous les services Docker?
Gabriel Bernard