XMAS scan

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

L'XMAS scan è un tipo di scansione caratterizzata dall'invio di pacchetti TCP anomali, alle porte della vittima, aventi i flag FIN, URG, e PSH attivi.

Le specifiche tecniche dalla RFC 793 prevedono che un host che riceve un pacchetto composto in questo modo, nel caso in cui la porta sia chiusa, risponda con un pacchetto con flag RST attivo, nel caso in cui la porta sia aperta, ignori il pacchetto.

La tecnica viene utilizzata per evadere alcuni tipi di firewall poco potenti. Questi infatti, per realizzare la stateful inspection si limitano a guardare i pacchetti di apertura/chiusura connessione (quelli cioè che contengono i flag SYN, ACK e RST). Lasciando passare tutti gli altri è possibile usare i pacchetto XMAS per raggiungere l'host interno, deducendo dalle sue risposte lo stato delle sue porte. I firewall più avanzati saranno comunque in grado di bloccare questo tipo di scansione grazie al fatto che tengono traccia delle connessioni aperte in una tabella, scartando tutti i pacchetti che non sono parte di una trasmissione già iniziata e quelli di handshake, per i quali viene invece consultata la lista delle regole per permetterne o meno il passaggio.

Questo tipo di scan si può realizzare tramite diversi tool, tra cui nmap[1] e hping[2]. Il nome della tecnica deriva dal fatto che con questi bit attivi "il pacchetto si accende come un albero di Natale"[3]

Altri tipi di scansione[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]