Божићно скенирање Нмап сматрало се скривеним скенирањем које анализира одговоре на божићне пакете како би утврдило природу уређаја који одговара. Сваки оперативни систем или мрежни уређај на другачији начин реагују на божићне пакете који откривају локалне информације као што су ОС (оперативни систем), стање порта и друго. Тренутно многи заштитни зидови и систем за откривање упада могу открити божићне пакете и то није најбоља техника за извођење скривеног скенирања, али је изузетно корисно разумети како то функционише.
У прошлом чланку о Нмап Стеалтх Сцан -у је објашњено како се успостављају ТЦП и СИН везе (морају се прочитати ако вам нису познате), али пакети КРАЈ , ПА и УРГ су посебно релевантни за Божић јер пакети без СИН, РСТ или АЛАС деривати у ресетовању везе (РСТ) ако је порт затворен и нема одговора ако је порт отворен. Пре одсуства таквих пакета, комбинације ФИН, ПСХ и УРГ довољне су за извођење скенирања.
Пакети ФИН, ПСХ и УРГ:
ПСХ: ТЦП међуспремници омогућавају пренос података када шаљете више од сегмента са максималном величином. Ако бафер није пун, заставица ПСХ (ПУСХ) дозвољава да га ипак пошаље тако што ће попунити заглавље или упутити ТЦП да шаље пакете. Преко ове заставице апликација која генерира промет обавјештава да се подаци морају одмах послати, одредиште је обавијештено подаци се морају одмах послати апликацији.
УРГ: Ова ознака обавештава да су одређени сегменти хитни и морају имати приоритет. Када је заставица омогућена пријемник ће прочитати 16 -битни сегмент у заглављу, овај сегмент означава хитне податке из првог бајта. Тренутно се ова застава скоро не користи.
КРАЈ: РСТ пакети су објашњени у горе наведеном водичу ( Нмап Стеалтх Сцан ), за разлику од РСТ пакета, ФИН пакети уместо да обавештавају о прекиду везе то траже од интерактивног хоста и чекају док не добију потврду о прекиду везе.
Лучке државе
Отвори | филтрирано: Нмап не може открити да ли је порт отворен или филтриран, чак и ако је порт отворен, божићно скенирање ће га пријавити као отворено | филтрирано, то се дешава када се не прими одговор (чак и након поновног слања).
Затворено: Нмап открива да је порт затворен, то се дешава када је одговор ТЦП РСТ пакет.
Филтрирано: Нмап открива заштитни зид који филтрира скениране портове, то се дешава када је одговор ИЦМП недостижна грешка (тип 3, код 1, 2, 3, 9, 10 или 13). На основу РФЦ стандарда, Нмап или Ксмас сцан могу тумачити стање порта
Божићно скенирање, баш као што НУЛЛ и ФИН скенирање не може да направи разлику између затвореног и филтрираног порта, као што је горе поменуто, одговор пакета је ИЦМП грешка Нмап га означава филтрираним, али као што је објашњено у књизи Нмап ако је сонда забрањено без одговора, изгледа отворено, стога Нмап приказује отворене портове и одређене филтриране портове као отворене | филтриране
Које одбране могу открити божићно скенирање?: Заштитни зидови без држављанства против Заштитни зидови са статусом:
Заштитни зидови без статуса или без статуса спроводе политику према извору саобраћаја, одредишту, портовима и сличним правилима занемарујући ТЦП стек или протокол датаграма. За разлику од заштитних зидова без држављанства, заштитних зидова са државним статусом, он може анализирати пакете који откривају кривотворене пакете, манипулацију МТУ (јединица максималног преноса) и друге технике које пружа Нмап и други софтвер за скенирање како би се заобишла заштита заштитног зида. Будући да је божићни напад манипулација пакетима, заштитни зидови са статусом ће га вероватно открити, док заштитни зидови без држављанства нису, систем за откривање упада ће такође открити овај напад ако је правилно конфигурисан.
Предлошци времена:
Параноично: -Т0, изузетно спор, користан за заобилажење ИДС -а (Системи за откривање упада)
Лукав, препреден: -Т1, веома спор, такође користан за заобилажење ИДС -а (Системи за откривање упада)
Учтив: -Т2, неутрално.
Нормално: -Т3, ово је подразумевани режим.
Агресивно: -Т4, брзо скенирање.
Лудо: -Т5, брже од технике агресивног скенирања.
Примери Нмап Ксмас Сцан
Следећи пример приказује љубазно божићно скенирање у односу на ЛинукХинт.
нмап -сКс -Т2линукхинт.цом 
Пример агресивног божићног скенирања према ЛинукХинт.цом
нмап -сКс -Т4линукхинт.цом 
Применом заставе -сВ за откривање верзија можете добити више информација о одређеним портовима и разликовати филтриране и филтриране портове, али иако се Божић сматрао техником скривеног скенирања, овај додатак може учинити скенирање видљивијим за заштитне зидове или ИДС.
нмап -сВ -сКс -Т4линук.лат 
Иптаблес правила за блокирање божићног скенирања
Следећа правила иптаблес -а могу вас заштитити од божићног скенирања:
иптаблес-ДОУЛАЗНИ-птцп--тцп-флагсФИН, УРГ, ПСХ ФИН, УРГ, ПСХ-јКАПиптаблес-ДОУЛАЗНИ-птцп--тцп-флагсСВЕ СВЕ-јКАП
иптаблес-ДОУЛАЗНИ-птцп--тцп-флагсАЛЛ НОНЕ-јКАП
иптаблес-ДОУЛАЗНИ-птцп--тцп-флагсСИН, РСТ СИН, РСТ-јКАП
Закључак
Иако божићно скенирање није ново и већина одбрамбених система може открити да постаје застарјела техника против добро заштићених циљева, то је одличан начин за упознавање с неуобичајеним ТЦП сегментима попут ПСХ и УРГ и за разумијевање начина на који Нмап анализира пакете добити закључке о циљевима. Више од методе напада, ово скенирање је корисно за тестирање вашег заштитног зида или система за откривање упада. Горе наведена правила за иптаблес требала би бити довољна да зауставе такве нападе са удаљених хостова. Ово скенирање је врло слично НУЛЛ и ФИН скенирањима по начину рада и ниској ефикасности против заштићених мета.
Надам се да вам је овај чланак био користан као увод у божићно скенирање помоћу Нмап -а. Пратите ЛинукХинт за више савета и ажурирања о Линуку, умрежавању и безбедности.
Повезани чланци:
- Како скенирати услуге и рањивости помоћу Нмап -а
- Коришћење нмап скрипти: Нмап хватање баннера
- нмап скенирање мреже
- нмап пинг свееп
- нмап заставице и шта раде
- ОпенВАС Убунту инсталација и водич
- Инсталирање Некпосе Скенера рањивости на Дебиан/Убунту
- Иптаблес за почетнике
Главни извор: хттпс://нмап.орг/боок/сцан-метходс-нулл-фин-кмас-сцан.хтмл