Nmap Xmas 스캔은 Xmas 패킷에 대한 응답을 분석하여 응답 장치의 특성을 결정하는 은밀한 스캔으로 간주되었습니다. 각 운영 체제 또는 네트워크 장치는 OS(운영 체제), 포트 상태 등과 같은 로컬 정보를 나타내는 Xmas 패킷에 다른 방식으로 응답합니다. 현재 많은 방화벽과 침입 탐지 시스템이 Xmas 패킷을 탐지할 수 있으며 스텔스 검사를 수행하는 가장 좋은 기술은 아니지만 작동 방식을 이해하는 데 매우 유용합니다.
Nmap Stealth Scan에 대한 마지막 기사에서 TCP 및 SYN 연결이 어떻게 설정되는지 설명했지만(모르는 경우 읽어야 함) 패킷 끝 , 아빠 그리고 URG 패킷이 없기 때문에 특히 Xmas와 관련이 있습니다. SYN, RST 또는 아아 포트가 닫혀 있으면 연결 재설정(RST)에서 파생되고 포트가 열려 있으면 응답이 없습니다. FIN, PSH 및 URG의 이러한 패킷 조합이 없으면 스캔을 수행하기에 충분합니다.
FIN, PSH 및 URG 패킷:
PSH: TCP 버퍼는 최대 크기의 세그먼트 이상을 보낼 때 데이터 전송을 허용합니다. 버퍼가 가득 차지 않은 경우 플래그 PSH(PUSH)는 헤더를 채우거나 패킷을 보내도록 TCP에 지시하여 어쨌든 보낼 수 있습니다. 이 플래그를 통해 트래픽을 생성하는 애플리케이션은 데이터를 즉시 보내야 함을 알리고, 목적지에 알린 데이터는 애플리케이션으로 즉시 보내야 함을 알립니다.
URG: 이 플래그는 특정 세그먼트가 긴급하고 우선 순위가 지정되어야 함을 알려줍니다. 플래그가 활성화되면 수신기가 헤더의 16비트 세그먼트를 읽고 이 세그먼트는 첫 번째 바이트의 긴급 데이터를 나타냅니다. 현재 이 플래그는 거의 사용되지 않습니다.
끝: RST 패킷은 위에서 언급한 튜토리얼( Nmap 스텔스 스캔 ), RST 패킷과 달리 FIN 패킷은 연결 종료를 알리는 대신 상호 작용하는 호스트에 요청하고 연결 종료 확인을 받을 때까지 기다립니다.
항구 상태
열림|필터링됨: Nmap은 포트가 열려 있는지 또는 필터링되었는지 감지할 수 없습니다. 포트가 열려 있더라도 Xmas 스캔은 이를 열림|필터링으로 보고합니다. 응답이 수신되지 않을 때(재전송 후에도) 발생합니다.
닫은: Nmap은 포트가 닫힌 것을 감지하고 응답이 TCP RST 패킷일 때 발생합니다.
거르는: Nmap은 스캔된 포트를 필터링하는 방화벽을 감지하고 응답이 ICMP 도달 불가 오류(유형 3, 코드 1, 2, 3, 9, 10 또는 13)일 때 발생합니다. RFC 표준을 기반으로 Nmap 또는 Xmas 스캔은 포트 상태를 해석할 수 있습니다.
Xmas 스캔은 위에서 언급한 것처럼 NULL 및 FIN 스캔이 닫힌 포트와 필터링된 포트를 구분할 수 없는 것처럼 패킷 응답은 ICMP 오류입니다. Nmap은 필터링된 것으로 태그를 지정하지만 프로브가 응답 없이 금지된 것으로 보이므로 Nmap은 열린 포트와 필터링된 특정 포트를 열린 것으로 표시합니다.
Xmas 스캔을 탐지할 수 있는 방어 수단은 무엇입니까?: 상태 비저장 방화벽 대 상태 저장 방화벽:
상태 비저장 또는 비상태 저장 방화벽은 TCP 스택 또는 프로토콜 데이터그램을 무시하고 트래픽 소스, 대상, 포트 및 유사한 규칙에 따라 정책을 수행합니다. Stateless 방화벽, Stateful 방화벽과 달리 위조 패킷을 감지하는 패킷, MTU(최대 전송 단위) 조작 및 방화벽 보안을 우회하기 위해 Nmap 및 기타 스캐닝 소프트웨어에서 제공하는 기타 기술을 분석할 수 있습니다. Xmas 공격은 패킷 조작이기 때문에 상태 저장 방화벽은 이를 탐지할 가능성이 있지만 상태 비저장 방화벽은 그렇지 않으므로 침입 탐지 시스템은 올바르게 구성된 경우 이 공격도 탐지합니다.
타이밍 템플릿:
편집증: -T0, 매우 느리고 IDS(침입 감지 시스템)를 우회하는 데 유용합니다.
교활한: -T1, 매우 느리며 IDS(침입 감지 시스템)를 우회하는 데도 유용합니다.
공손한: -T2, 중립.
정상: -T3, 기본 모드입니다.
공격적인: -T4, 빠른 스캔.
정신 이상의: -T5, 공격적 스캔 기술보다 빠릅니다.
Nmap Xmas 스캔 예제
다음 예는 LinuxHint에 대한 폴라이트 Xmas 스캔을 보여줍니다.
nmap -sX -T2리눅스힌트닷컴 
LinuxHint.com에 대한 적극적인 Xmas 스캔의 예
nmap -sX -T4리눅스힌트닷컴 
플래그를 적용하여 -sV 버전 감지의 경우 특정 포트에 대한 추가 정보를 얻고 필터링된 포트와 필터링된 포트를 구별할 수 있지만 Xmas는 은폐 스캔 기술로 간주되었지만 이 추가 기능을 사용하면 방화벽이나 IDS에서 스캔을 더 잘 볼 수 있습니다.
nmap -sV -sX -T4linux.lat 
Xmas 스캔을 차단하는 Iptables 규칙
다음 iptables 규칙은 Xmas 스캔으로부터 사용자를 보호할 수 있습니다.
iptables-에게입력-NSTCP--tcp-플래그핀, URG, PSH 핀, URG, PSH-제이떨어지다iptables-에게입력-NSTCP--tcp-플래그모두 모두-제이떨어지다
iptables-에게입력-NSTCP--tcp-플래그모두 없음-제이떨어지다
iptables-에게입력-NSTCP--tcp-플래그SYN,RST SYN,RST-제이떨어지다
결론
Xmas 스캔은 새로운 것이 아니며 대부분의 방어 시스템은 잘 보호된 대상에 대해 구식 기술이 되는 것을 감지할 수 있지만 이는 PSH 및 URG와 같은 흔하지 않은 TCP 세그먼트를 소개하고 Nmap이 패킷을 분석하는 방식을 이해하는 좋은 방법입니다. 목표에 대한 결론을 얻습니다. 이 검사는 공격 방법 이상으로 방화벽이나 침입 탐지 시스템을 테스트하는 데 유용합니다. 위에서 언급한 iptables 규칙은 원격 호스트의 이러한 공격을 차단하기에 충분해야 합니다. 이 스캔은 작동 방식과 보호 대상에 대한 낮은 효율성 모두에서 NULL 및 FIN 스캔과 매우 유사합니다.
이 기사가 Nmap을 사용한 Xmas 스캔에 대한 소개로 유용했기를 바랍니다. Linux, 네트워킹 및 보안에 대한 추가 팁과 업데이트를 보려면 LinuxHint를 계속 팔로우하세요.
관련 기사:
- Nmap으로 서비스 및 취약점을 스캔하는 방법
- nmap 스크립트 사용: Nmap 배너 잡기
- nmap 네트워크 스캐닝
- nmap 핑 스윕
- nmap 플래그와 그들이 하는 일
- OpenVAS Ubuntu 설치 및 자습서
- Debian/Ubuntu에 Nexpose Vulnerability Scanner 설치
- 초보자를 위한 iptables
주 원천: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html