Выполнение TCP Xmas сканирования в Nmap

Введение

В этом лабе вы научитесь выполнять TCP Xmas-сканирование с использованием Nmap. Лаб涵盖ит различные аспекты Xmas-сканирования, включая выполнение базового сканирования целевого IP, сканирование конкретных портов, добавление подробности к сканированию, сохранение результатов сканирования, сравнение Xmas-сканирований с FIN-сканированиями и анализ результатов в терминале Xfce. Вы поймете, как работают Xmas-сканирования, установив флаги FIN, PSH и URG в заголовке TCP для идентификации открытых или отфильтрованных портов на целевой системе.

Запустить Xmas-сканирование с помощью nmap -sX 192.168.1.1

В этом шаге мы выполним Xmas-сканирование с использованием Nmap. Xmas-сканирование - это тип сканирования портов, при котором устанавливаются флаги FIN, PSH и URG в заголовке TCP. Этот тип сканирования назван "Xmas" (Рождественский), потому что установленные флаги напоминают ёлку. Он полезен для идентификации открытых или отфильтрованных портов на целевой системе.

Прежде чем мы начнем, давайте разберем, что означают эти флаги:

• FIN (Finish - Завершение): Указывает на конец соединения.
• PSH (Push - Отправить): Сообщает приемной системе отправить буферизированные данные в приложение.
• URG (Urgent - Срочный): Указывает, что поле срочного указателя имеет значение и указывает на данные, которые должны быть обработаны срочно.

Когда хост получает пакет Xmas-сканирования, он должен ответить RST (сброс) пакетом, если порт закрыт. Если порт открыт, хост должен отбросить пакет и не отвечать. Однако некоторые системы могут не отвечать правильно, что может помочь определить операционную систему или правила фаервола.

Теперь давайте запустим Xmas-сканирование по целевому IP-адресу 192.168.1.1. Откройте терминал Xfce и выполните следующую команду:

sudo nmap -sX 192.168.1.1

Эта команда告诉 Nmap выполнить Xmas-сканирование (-sX) по целевому IP-адресу 192.168.1.1. Вам понадобятся права sudo для выполнения этой команды.

После завершения сканирования Nmap отобразит результаты. Вывод покажет, какие порты считаются открытыми, закрытыми или отфильтрованными на основе ответов (или их отсутствия) от целевой системы.

Пример вывода (фактический вывод может отличаться в зависимости от целевой системы):

Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
All 1000 scanned ports on 192.168.1.1 are filtered

Nmap done: 1 IP address (1 host up) scanned in 3.21 seconds

В этом примере все 1000 отсканированных портов отмечаются как отфильтрованные. Это означает, что Nmap не смог определить, открыт ли порт или закрыт, потому что целевая система, вероятно, блокирует или фильтрует пакеты сканирования.

Проводить сканирование конкретных портов с помощью nmap -sX -p 22,80 127.0.0.1

В этом шаге мы сосредоточим наше Xmas-сканирование на конкретных портах. Это полезно, когда вы хотите быстро проверить статус определенных служб, работающих на целевой машине, вместо сканирования всех портов. Мы будем сканировать порты 22 (SSH) и 80 (HTTP) на локальном компьютере (127.0.0.1).

Параметр -p в Nmap позволяет вам указать, какие порты нужно сканировать. Вы можете указать один порт, диапазон портов (например, 1-100) или список портов, разделенных запятыми (например, 22,80,443).

Для сканирования портов 22 и 80 с использованием Xmas-сканирования откройте терминал Xfce и выполните следующую команду:

sudo nmap -sX -p 22,80 127.0.0.1

Эта команда告诉 Nmap выполнить Xmas-сканирование (-sX) на портах 22 и 80 (-p 22,80) целевого IP-адреса 127.0.0.1 (локального компьютера). Вам понадобятся права sudo для выполнения этой команды.

После завершения сканирования Nmap отобразит результаты для указанных портов. Вывод покажет, открыт ли порт, закрыт или отфильтрован.

Пример вывода (фактический вывод может отличаться):

Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).

PORT   STATE    SERVICE
22/tcp filtered ssh
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

В этом примере оба порта 22 и 80 отмечаются как отфильтрованные. Это означает, что Nmap не смог определить, открыт ли эти порты или закрыты, возможно, из-за правил фаервола или других сетевых настроек на локальном компьютере.

Добавить подробность с помощью nmap -v -sX 192.168.1.1

В этом шаге мы добавим подробность к нашему Xmas-сканированию. Подробность в Nmap означает увеличение количества отображаемой информации в процессе сканирования. Это может помочь понять, что делает Nmap, и устранить любые возникающие проблемы.

Параметр -v в Nmap увеличивает уровень подробности. Вы можете использовать -v для обычной подробности или -vv для более детального вывода.

Для запуска Xmas-сканирования с подробностью откройте терминал Xfce и выполните следующую команду:

sudo nmap -v -sX 192.168.1.1

Эта команда告诉 Nmap выполнить Xmas-сканирование (-sX) на целевой IP-адрес 192.168.1.1 с включенной подробностью (-v). Вам понадобятся права sudo для выполнения этой команды.

Теперь вывод будет содержать больше информации о процессе сканирования, таких как сканируемые порты, отправляемые пакеты и полученные ответы.

Пример вывода (фактический вывод может отличаться в зависимости от целевой системы и сетевой конфигурации):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Xmas Scan at 10:00
Scanning 192.168.1.1 [1000 ports]
Completed Xmas Scan at 10:00, 0.00s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
All 1000 scanned ports on 192.168.1.1 are filtered

Nmap done: 1 IP address (1 host up) scanned in 3.21 seconds

Подробный вывод предоставляет больше деталей о ходе сканирования, включая время начала и окончания, количество сканированных портов и любые ошибки или предупреждения, которые были обнаружены.

Сохранить результаты Xmas-сканирования с помощью nmap -sX -oN xmas.txt 127.0.0.1

В этом шаге мы узнаем, как сохранить результаты Xmas-сканирования в файл. Это полезно для последующего анализа или для документирования своих результатов. Nmap предоставляет несколько вариантов сохранения результатов сканирования в различных форматах. Параметр -oN сохраняет результаты в "обычном" человекочитаемом формате.

Для сохранения результатов Xmas-сканирования в файл с именем xmas.txt откройте терминал Xfce и выполните следующую команду:

sudo nmap -sX -oN xmas.txt 127.0.0.1

Эта команда告诉 Nmap выполнить Xmas-сканирование (-sX) на целевой IP-адрес 127.0.0.1 (локального компьютера) и сохранить результаты в нормальном формате (-oN) в файл xmas.txt. Файл будет создан в вашей текущей директории, которая равна ~/project. Вам понадобятся права sudo для выполнения этой команды.

После завершения сканирования вы можете просмотреть содержимое файла xmas.txt с помощью команды cat или текстового редактора, такого как nano.

cat xmas.txt

Пример вывода (фактический вывод может отличаться):

## Nmap 7.80 scan initiated Tue Oct 27 10:00:00 2023
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

## Nmap done at Tue Oct 27 10:00:00 2023 -- 1 IP address (1 host up) scanned in 0.12 seconds

Вместо этого вы можете использовать nano для открытия и просмотра файла:

nano xmas.txt

Это откроет файл xmas.txt в текстовом редакторе nano, позволяя вам изучить результаты сканирования. Не забудьте сохранить и выйти из nano, нажав Ctrl+X, затем Y, чтобы подтвердить сохранение, и наконец Enter.

Сравнить Xmas-сканирование с FIN-сканированием в терминале Xfce

В этом шаге мы сравним результаты Xmas-сканирования с FIN-сканированием. И Xmas-, и FIN-сканирования являются типами скрытых сканирований, которые можно использовать для идентификации открытых портов на целевой системе. Они работают путём отправки специально сформированных TCP-пакетов на цель и анализа ответов.

Сначала выполним FIN-сканирование на локальном компьютере (127.0.0.1):

sudo nmap -sF 127.0.0.1

Эта команда告诉 Nmap выполнить FIN-сканирование (-sF) на целевой IP-адрес 127.0.0.1. Вам понадобятся права sudo для выполнения этой команды.

Пример вывода (фактический вывод может отличаться):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Теперь сравним этот вывод с выводом из ранее выполненного Xmas-сканирования. Вы можете либо прокрутить историю в терминале, чтобы найти предыдущий вывод Xmas-сканирования, либо выполнить повторно Xmas-сканирование:

sudo nmap -sX 127.0.0.1

Пример вывода (фактический вывод может отличаться):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:01 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Обратите внимание на сходства и различия между результатами двух сканирований. В многих случаях результаты будут идентичными, показывая все порты как отфильтрованные. Это связано с тем, что многие современные фаерволы и операционные системы настроены на отбрасывание или игнорирование таких типов пакетов.

Для дальнейшего сравнения вы можете сохранить результаты FIN-сканирования в файл, аналогично тому, как мы это делали с Xmas-сканированием:

sudo nmap -sF -oN fin.txt 127.0.0.1

Затем вы можете использовать команду diff для сравнения двух файлов:

diff xmas.txt fin.txt

Эта команда покажет любые различия между файлами xmas.txt и fin.txt. Если сканирования дали идентичные результаты, команда diff не выведет ничего.

Анализировать результаты в терминале Xfce

В этом шаге мы будем анализировать результаты сканирования Nmap, которые мы выполнили. Разбор вывода сканирования Nmap имеет решающее значение для выявления потенциальных уязвимостей и безопасности.

Начнём с исследования файла xmas.txt, в котором содержатся результаты Xmas-сканирования. Вы можете просмотреть содержимое этого файла с помощью команды cat или текстового редактора, такого как nano:

cat xmas.txt

или

nano xmas.txt

Вывод обычно включает следующую информацию:

• Версия Nmap: Версия Nmap, использованная для сканирования.
• Время начала сканирования: Дата и время, когда началось сканирование.
• Информация о цели: IP-адрес или имя хоста целевой системы.
• Статус хоста: Включен ли или выключен целевой хост.
• Статус порта: Статус каждого сканируемого порта (например, открыт, закрыт, отфильтрован).
• Время завершения сканирования: Дата и время, когда сканирование было завершено.

В случае Xmas- и FIN-сканирований вы часто увидите, что все порты отмечаются как "отфильтрованные". Это означает, что Nmap не смог определить, открыт ли порт или закрыт, потому что целевая система не ответила на пакеты сканирования так, чтобы Nmap мог сделать окончательное определение. Это распространенный результат при сканировании систем, защищенных фаерволами или системами обнаружения вторжений (IDS).

Если вы видите порты, отмеченные как "открытые" или "закрытые", это означает, что целевая система ответила на пакеты сканирования предсказуемым образом. Однако важно помнить, что Xmas- и FIN-сканирования могут быть не надежными, и результаты могут не всегда быть точными.

Для более точного представления о открытых портах целевой системы вам может потребоваться использовать другие типы сканирования Nmap, такие как TCP-сканирование подключения (-sT) или SYN-сканирование (-sS). Эти сканирования более надежны, но могут быть также легче обнаружены фаерволами и IDS.

Кратко говоря, анализ результатов сканирования Nmap включает тщательное изучение вывода для выявления потенциальных уязвимостей и безопасности. Важно понимать разные типы сканирования Nmap и ограничения каждого типа сканирования. Объединяя разные методы сканирования и тщательно анализируя результаты, вы можете получить более полное представление о безопасности целевой системы.

Резюме

В этом практическом занятии участники получают навыки выполнения TCP Xmas-сканирования с использованием Nmap. Они начинают с выполнения базового Xmas-сканирования на целевой IP-адрес (192.168.1.1) с помощью команды nmap -sX, понимая, что это устанавливает флаги FIN, PSH и URG в заголовке TCP для идентификации открытых или отфильтрованных портов. Они также узнают, как сканировать конкретные порты, добавить подробность к сканированию и сохранить результаты в файл. Кроме того, они сравнивают Xmas-сканирования с FIN-сканированиями и анализируют результаты в терминале Xfce.