تم اعتبار فحص Nmap Xmas مسحًا خفيًا يحلل الردود على حزم Xmas لتحديد طبيعة جهاز الرد. يستجيب كل نظام تشغيل أو جهاز شبكة بطريقة مختلفة لحزم Xmas التي تكشف عن معلومات محلية مثل OS (نظام التشغيل) وحالة المنفذ والمزيد. في الوقت الحالي ، يمكن للعديد من جدران الحماية وأنظمة اكتشاف التطفل اكتشاف حزم Xmas ، وهي ليست أفضل تقنية لإجراء مسح خفي ، ومع ذلك فهي مفيدة للغاية لفهم كيفية عملها.
في المقالة الأخيرة على Nmap Stealth Scan ، تم شرح كيفية إنشاء اتصالات TCP و SYN (يجب قراءتها إذا لم تكن تعرفها) ولكن الحزم نهاية و السلطة الفلسطينية و URG ذات صلة خاصة بعيد الميلاد لأن الحزم بدون SYN ، RST أو واحسرتاه إعادة تعيين المشتقات في اتصال (RST) إذا كان المنفذ مغلقًا ولا توجد استجابة إذا كان المنفذ مفتوحًا. قبل عدم وجود مثل هذه الحزم ، تكون مجموعات FIN و PSH و URG كافية لإجراء المسح.
حزم FIN و PSH و URG:
PSH: تسمح مخازن TCP المؤقتة بنقل البيانات عندما ترسل أكثر من مقطع بالحجم الأقصى. إذا لم يكن المخزن المؤقت ممتلئًا ، فإن العلامة PSH (PUSH) تسمح بإرسالها على أي حال عن طريق ملء العنوان أو توجيه TCP لإرسال الحزم. من خلال هذه العلامة ، يقوم التطبيق المولِّد لحركة المرور بإعلام أنه يجب إرسال البيانات على الفور ، ويجب إرسال بيانات إبلاغ الوجهة على الفور إلى التطبيق.
URG: تُعلم هذه العلامة مقاطع معينة بأنها عاجلة ويجب أن تكون ذات أولوية ، عندما يتم تمكين العلم ، سيقرأ جهاز الاستقبال مقطعًا من 16 بتًا في الرأس ، ويشير هذا المقطع إلى البيانات العاجلة من البايت الأول. حاليا هذه العلامة غير مستخدمة تقريبا.
نهاية: تم شرح حزم RST في البرنامج التعليمي المذكور أعلاه ( مسح الشبح Nmap ) ، خلافًا لحزم RST ، تطلب حزم FIN بدلاً من الإبلاغ عن إنهاء الاتصال ذلك من المضيف المتفاعل وتنتظر حتى الحصول على تأكيد لإنهاء الاتصال.
دول الميناء
فتح | مصفى: لا يمكن لـ Nmap اكتشاف ما إذا كان المنفذ مفتوحًا أو تمت تصفيته ، حتى إذا كان المنفذ مفتوحًا ، فسيقوم فحص Xmas بالإبلاغ عنه على أنه مفتوح | تمت تصفيته ، ويحدث ذلك عند عدم تلقي أي استجابة (حتى بعد عمليات إعادة الإرسال).
مغلق: يكتشف Nmap أن المنفذ مغلق ، ويحدث عندما تكون الاستجابة عبارة عن حزمة TCP RST.
مصفى: يكتشف Nmap جدار حماية يقوم بتصفية المنافذ الممسوحة ضوئيًا ، ويحدث ذلك عندما تكون الاستجابة هي خطأ ICMP لا يمكن الوصول إليه (النوع 3 أو الكود 1 أو 2 أو 3 أو 9 أو 10 أو 13). استنادًا إلى معايير RFC ، فإن Nmap أو فحص Xmas قادر على تفسير حالة المنفذ
فحص Xmas ، تمامًا كما لا يمكن لمسح NULL و FIN التمييز بين منفذ مغلق ومفلتر ، كما هو مذكور أعلاه ، هو استجابة الحزمة عبارة عن خطأ ICMP يقوم Nmap بوضع علامات عليه على أنه تمت تصفيته ، ولكن كما هو موضح في كتاب Nmap إذا كان المسبار تم حظره دون استجابة يبدو أنه مفتوح ، لذلك يعرض Nmap المنافذ المفتوحة وبعض المنافذ التي تمت تصفيتها على أنها مفتوحة | مُفلترة
ما الدفاعات التي يمكنها اكتشاف فحص Xmas ؟: جدران الحماية عديمة الحالة مقابل جدران الحماية ذات الحالة:
تنفذ جدران الحماية عديمة الحالة أو غير ذات الحالة سياسات وفقًا لمصدر حركة المرور والوجهة والمنافذ والقواعد المماثلة التي تتجاهل مكدس TCP أو مخطط بيانات البروتوكول. على عكس جدران الحماية عديمة الحالة ، وجدران الحماية ذات الحالة ، يمكنه تحليل الحزم التي تكشف عن الحزم المزورة ، ومعالجة MTU (وحدة الإرسال القصوى) والتقنيات الأخرى التي يوفرها Nmap وبرامج المسح الأخرى لتجاوز أمان جدار الحماية. نظرًا لأن هجوم Xmas هو تلاعب بالحزم من المحتمل أن تكتشفها جدران الحماية ذات الحالة بينما لا تكون جدران الحماية عديمة الحالة كذلك ، فإن نظام كشف التطفل سيكتشف أيضًا هذا الهجوم إذا تم تكوينه بشكل صحيح.
قوالب التوقيت:
المذعور: -T0 ، بطيء للغاية ومفيد لتجاوز IDS (أنظمة كشف التسلل)
متستر: -T1 ، بطيء جدًا ، ومفيد أيضًا لتجاوز IDS (أنظمة كشف التسلل)
مؤدب: -T2 ، محايد.
طبيعي: -T3 ، هذا هو الوضع الافتراضي.
عنيف: -T4 ، مسح سريع.
مجنون: -T5 ، أسرع من تقنية المسح العدواني.
أمثلة على Nmap Xmas Scan
يوضح المثال التالي فحصًا مهذبًا لـ Xmas مقابل LinuxHint.
nmap -sX -T2linuxhint.com 
مثال على المسح العدواني لعيد الميلاد ضد LinuxHint.com
nmap -sX -T4linuxhint.com 
من خلال تطبيق العلم -sV لاكتشاف الإصدار ، يمكنك الحصول على مزيد من المعلومات حول منافذ محددة والتمييز بين المنافذ المصفاة والمفلترة ، ولكن بينما يعتبر Xmas تقنية مسح خفية ، فإن هذه الإضافة قد تجعل الفحص أكثر وضوحًا لجدران الحماية أو IDS.
nmap -sV -sX -T4لينكس 
قواعد Iptables لمنع فحص Xmas
يمكن لقواعد iptables التالية حمايتك من فحص Xmas:
iptables-إلىإدخال-pبرنامج التعاون الفني- أعلام TCPFIN ، URG ، PSH FIN ، URG ، PSH-جقطرةiptables-إلىإدخال-pبرنامج التعاون الفني- أعلام TCPالكل-جقطرة
iptables-إلىإدخال-pبرنامج التعاون الفني- أعلام TCPكل شيء-جقطرة
iptables-إلىإدخال-pبرنامج التعاون الفني- أعلام TCPSYN ، RST SYN ، RST-جقطرة
استنتاج
في حين أن فحص Xmas ليس جديدًا وأن معظم أنظمة الدفاع قادرة على اكتشاف أنه أصبح أسلوبًا قديمًا ضد الأهداف المحمية جيدًا ، إلا أنه طريقة رائعة لتقديم مقاطع TCP غير الشائعة مثل PSH و URG وفهم الطريقة التي تحلل بها Nmap الحزم الحصول على استنتاجات بشأن الأهداف. يعد هذا الفحص مفيدًا أكثر من طريقة هجوم لاختبار جدار الحماية أو نظام اكتشاف التسلل. يجب أن تكون قواعد iptables المذكورة أعلاه كافية لإيقاف مثل هذه الهجمات من المضيفين البعيدين. يشبه هذا الفحص إلى حد بعيد عمليات المسح NULL و FIN في الطريقة التي يعملان بها وفعالية منخفضة ضد الأهداف المحمية.
أتمنى أن تكون قد وجدت هذه المقالة مفيدة كمقدمة لفحص Xmas باستخدام Nmap. استمر في اتباع LinuxHint للحصول على مزيد من النصائح والتحديثات المتعلقة بـ Linux والشبكات والأمان.
مقالات ذات صلة:
- كيفية البحث عن الخدمات ونقاط الضعف باستخدام Nmap
- استخدام البرامج النصية لـ nmap: انتزاع شعار Nmap
- فحص شبكة nmap
- برنامج nmap بينغ الاجتياح
- أعلام nmap وماذا يفعلون
- تثبيت OpenVAS Ubuntu والبرنامج التعليمي
- تثبيت Nexpose Vulnerability Scanner على Debian / Ubuntu
- Iptables للمبتدئين
المصدر الرئيسي: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html