L' XMAS Scan

Cosa è l'XMAS Scan

L'XMAS Scan è un altro tipo di port scanning, e quindi lo scopo è più o meno lo stesso di tutti gli altri, ma questo ha una particolarità molto interessante.

L'XMAS Scan consiste nel mandare alla porta "XXX" di un determinato server, un pacchetto TCP avente attivi i flag FIN, URG, e PSH attivi.

Secondo le solite regole dell' RFC 793 un server che riceve un pacchetto con questi flag attivi, nel caso avesse la  porta "XXX" chiusa deve rispondere con un altro pacchetto con flag RST; se invece dovesse avere la porta XXX aperta, deve lasciar passare il pacchetto.

La diversità di questa scansione

I pacchetti FIN URG e PSH non sono pacchetti che si usano spesso no?

Infatti i pacchetti più usati sono: SYN (apertura connessione) ACK (continuazione connessione) e RST (chiusura connessione).

Proprio per questa ragione, se abbiamo un firewall che fa schifo, e un hacker dovesse farci una scansione del genere, il nostro firewall lascierebbe passare i pacchetti senza analizzarli, in quanto superflui, e in questo modo l'attaccante potrebbe raggiungere un host interno di un server (molto più debole).

Considerazioni finali

Infine vi consiglio di fare dei test sul vostro firewall per vederne la sicurezza (ne parlerò tra poco tempo sul come testare il nostro firewall) perchè, come ho già detto , la sicurezza viene prima di tutto.

Alla prossima, BlackHack