एनएमएपी क्रिसमस स्कैन

Nmap क्रिसमस स्कैन को एक गुप्त स्कैन माना जाता था जो उत्तर देने वाले डिवाइस की प्रकृति को निर्धारित करने के लिए क्रिसमस पैकेट के जवाबों का विश्लेषण करता है। प्रत्येक ऑपरेटिंग सिस्टम या नेटवर्क डिवाइस ओएस (ऑपरेटिंग सिस्टम), पोर्ट स्थिति और अधिक जैसी स्थानीय जानकारी प्रकट करने वाले क्रिसमस पैकेट के लिए एक अलग तरीके से प्रतिक्रिया करता है। वर्तमान में कई फायरवॉल और इंट्रूज़न डिटेक्शन सिस्टम क्रिसमस पैकेट का पता लगा सकते हैं और यह स्टील्थ स्कैन करने के लिए सबसे अच्छी तकनीक नहीं है, फिर भी यह समझना बेहद उपयोगी है कि यह कैसे काम करता है।

Nmap Stealth Scan पर पिछले लेख में बताया गया था कि TCP और SYN कनेक्शन कैसे स्थापित होते हैं (यदि आपको पता नहीं है तो अवश्य पढ़ें) लेकिन पैकेट समाप्त , देहात तथा यूआरजी क्रिसमस के लिए विशेष रूप से प्रासंगिक हैं क्योंकि पैकेट बिना एसवाईएन, आरएसटी या हाय यदि पोर्ट बंद है और पोर्ट खुला है तो कोई प्रतिक्रिया नहीं होने पर कनेक्शन रीसेट (आरएसटी) में डेरिवेटिव। ऐसे पैकेटों की अनुपस्थिति से पहले फिन, पीएसएच और यूआरजी के संयोजन स्कैन करने के लिए पर्याप्त हैं।

फिन, पीएसएच और यूआरजी पैकेट:

पीएसएच: जब आप अधिकतम आकार वाले एक से अधिक खंड भेजते हैं तो टीसीपी बफ़र्स डेटा ट्रांसफर की अनुमति देते हैं। यदि बफ़र फ़्लैग से भरा नहीं है तो PSH (PUSH) हेडर भरकर या TCP को पैकेट भेजने का निर्देश देकर इसे वैसे भी भेजने की अनुमति देता है। इस ध्वज के माध्यम से एप्लिकेशन जनरेटिंग ट्रैफ़िक सूचित करता है कि डेटा तुरंत भेजा जाना चाहिए, गंतव्य को सूचित किया जाता है कि डेटा तुरंत एप्लिकेशन को भेजा जाना चाहिए।

यूआरजी: यह ध्वज सूचित करता है कि विशिष्ट खंड अत्यावश्यक हैं और उन्हें प्राथमिकता दी जानी चाहिए, जब ध्वज सक्षम होता है तो रिसीवर हेडर में 16 बिट खंड पढ़ेगा, यह खंड पहले बाइट से तत्काल डेटा को इंगित करता है। वर्तमान में यह ध्वज लगभग अप्रयुक्त है।

समाप्त: RST पैकेट्स को ऊपर बताए गए ट्यूटोरियल में समझाया गया था ( एनएमएपी चुपके स्कैन ), आरएसटी पैकेट के विपरीत, कनेक्शन समाप्ति पर सूचित करने के बजाय फिन पैकेट इंटरेक्टिंग होस्ट से अनुरोध करता है और कनेक्शन समाप्त करने की पुष्टि होने तक प्रतीक्षा करता है।

बंदरगाह राज्य

खुला | फ़िल्टर किया गया: Nmap यह पता नहीं लगा सकता है कि पोर्ट खुला है या फ़िल्टर किया गया है, भले ही पोर्ट खुला हो, क्रिसमस स्कैन इसे खुले के रूप में रिपोर्ट करेगा | फ़िल्टर किया गया, यह तब होता है जब कोई प्रतिक्रिया प्राप्त नहीं होती है (फिर से ट्रांसमिशन के बाद भी)।

बंद किया हुआ: Nmap पता लगाता है कि पोर्ट बंद है, यह तब होता है जब प्रतिक्रिया एक TCP RST पैकेट होती है।

छाना हुआ: Nmap स्कैन किए गए पोर्ट को फ़िल्टर करने वाले फ़ायरवॉल का पता लगाता है, यह तब होता है जब प्रतिक्रिया ICMP अगम्य त्रुटि (टाइप 3, कोड 1, 2, 3, 9, 10, या 13) होती है। RFC मानकों के आधार पर Nmap या क्रिसमस स्कैन पोर्ट स्थिति की व्याख्या करने में सक्षम है

क्रिसमस स्कैन, जैसे कि NULL और FIN स्कैन एक बंद और फ़िल्टर किए गए पोर्ट के बीच अंतर नहीं कर सकते हैं, जैसा कि ऊपर उल्लेख किया गया है, पैकेट प्रतिक्रिया एक ICMP त्रुटि है Nmap इसे फ़िल्टर के रूप में टैग करता है, लेकिन जैसा कि Nmap बुक में बताया गया है यदि जांच है प्रतिक्रिया के बिना प्रतिबंधित यह खुला लगता है, इसलिए नैंप खुले बंदरगाहों और कुछ फ़िल्टर किए गए बंदरगाहों को खुले के रूप में दिखाता है | फ़िल्टर किया गया

क्रिसमस स्कैन का पता लगाने के लिए कौन से बचाव हो सकते हैं ?: स्टेटलेस फायरवॉल बनाम स्टेटफुल फायरवॉल:

स्टेटलेस या नॉन-स्टेटफुल फायरवॉल ट्रैफिक सोर्स, डेस्टिनेशन, पोर्ट्स और इसी तरह के नियमों के अनुसार टीसीपी स्टैक या प्रोटोकॉल डेटाग्राम को नजरअंदाज करते हुए नीतियों को अंजाम देते हैं। स्टेटलेस फायरवॉल, स्टेटफुल फायरवॉल के विपरीत, यह जाली पैकेटों का पता लगाने वाले पैकेटों का विश्लेषण कर सकता है, एमटीयू (अधिकतम ट्रांसमिशन यूनिट) हेरफेर और फायरवॉल सुरक्षा को बायपास करने के लिए एनएमएपी और अन्य स्कैनिंग सॉफ्टवेयर द्वारा प्रदान की जाने वाली अन्य तकनीकों का विश्लेषण कर सकता है। चूंकि क्रिसमस अटैक पैकेटों का एक हेरफेर है, स्टेटफुल फायरवॉल को इसका पता लगाने की संभावना है, जबकि स्टेटलेस फायरवॉल नहीं हैं, अगर ठीक से कॉन्फ़िगर किया गया है तो इंट्रूज़न डिटेक्शन सिस्टम भी इस हमले का पता लगाएगा।

टाइमिंग टेम्प्लेट:

पागल: -T0, बेहद धीमी, आईडीएस (घुसपैठ का पता लगाने वाली प्रणाली) को बायपास करने के लिए उपयोगी
डरपोक: -T1, बहुत धीमा, आईडीएस (घुसपैठ का पता लगाने वाली प्रणाली) को बायपास करने के लिए भी उपयोगी
सभ्य: -टी 2, तटस्थ।
सामान्य: -T3, यह डिफ़ॉल्ट मोड है।
आक्रामक: -T4, फास्ट स्कैन।
विक्षिप्त: -T5, आक्रामक स्कैन तकनीक से तेज।

Nmap क्रिसमस स्कैन उदाहरण

निम्न उदाहरण LinuxHint के विरुद्ध एक विनम्र क्रिसमस स्कैन दिखाता है।

LinuxHint.com के खिलाफ आक्रामक क्रिसमस स्कैन का उदाहरण

झंडा लगाकर -एसवी संस्करण का पता लगाने के लिए आप विशिष्ट बंदरगाहों पर अधिक जानकारी प्राप्त कर सकते हैं और फ़िल्टर्ड और फ़िल्टर किए गए बंदरगाहों के बीच अंतर कर सकते हैं, लेकिन क्रिसमस को एक चुपके स्कैन तकनीक माना जाता था, लेकिन यह अतिरिक्त फायरवॉल या आईडीएस के लिए स्कैन को और अधिक दृश्यमान बना सकता है।

क्रिसमस स्कैन को ब्लॉक करने के लिए Iptables नियम

निम्नलिखित iptables नियम क्रिसमस स्कैन से आपकी रक्षा कर सकते हैं:

निष्कर्ष

जबकि क्रिसमस स्कैन नया नहीं है और अधिकांश रक्षा प्रणालियां इसे अच्छी तरह से संरक्षित लक्ष्यों के खिलाफ एक अप्रचलित तकनीक बनने का पता लगाने में सक्षम हैं, यह पीएसएच और यूआरजी जैसे असामान्य टीसीपी सेगमेंट के परिचय का एक शानदार तरीका है और जिस तरह से एनएमएपी पैकेट का विश्लेषण करता है उसे समझने का एक शानदार तरीका है। लक्ष्यों पर निष्कर्ष प्राप्त करें। हमले के तरीके से ज्यादा यह स्कैन आपके फायरवॉल या इंट्रूज़न डिटेक्शन सिस्टम का परीक्षण करने के लिए उपयोगी है। दूरस्थ मेजबानों से ऐसे हमलों को रोकने के लिए ऊपर उल्लिखित iptables नियम पर्याप्त होने चाहिए। यह स्कैन NULL और FIN दोनों तरह से स्कैन के समान है, जिस तरह से वे काम करते हैं और संरक्षित लक्ष्यों के खिलाफ कम प्रभावशीलता।

मुझे आशा है कि आपको यह लेख Nmap का उपयोग करके क्रिसमस स्कैन के परिचय के रूप में उपयोगी लगा होगा। Linux, नेटवर्किंग और सुरक्षा के बारे में अधिक युक्तियों और अद्यतनों के लिए LinuxHint का अनुसरण करते रहें।

संबंधित आलेख:

• Nmap . के साथ सेवाओं और कमजोरियों के लिए स्कैन कैसे करें
• नैंप स्क्रिप्ट का उपयोग करना: नैंप बैनर ग्रैब
• नैम्प नेटवर्क स्कैनिंग
• नैम्प पिंग स्वीप
• नैम्प झंडे और वे क्या करते हैं
• OpenVAS उबंटू इंस्टालेशन और ट्यूटोरियल
• डेबियन/उबंटू पर नेक्सपोज़ भेद्यता स्कैनर स्थापित करना
• शुरुआती के लिए Iptables

मुख्य स्त्रोत: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html