این ایم اے پی کرسمس اسکین کو ایک چپکے اسکین سمجھا جاتا تھا جو جواب دینے والے آلے کی نوعیت کا تعین کرنے کے لیے کرسمس پیکٹ کے جوابات کا تجزیہ کرتا ہے۔ ہر آپریٹنگ سسٹم یا نیٹ ورک ڈیوائس کرسمس کے پیکٹوں کو مختلف طریقے سے جواب دیتی ہے جو مقامی معلومات کو ظاہر کرتی ہے جیسے OS (آپریٹنگ سسٹم) ، پورٹ اسٹیٹ اور بہت کچھ۔ فی الحال بہت سے فائر والز اور انٹروژن ڈیٹیکشن سسٹم کرسمس پیکٹ کا پتہ لگاسکتے ہیں اور یہ اسٹیلتھ اسکین کرنے کی بہترین تکنیک نہیں ہے ، پھر بھی یہ سمجھنا انتہائی مفید ہے کہ یہ کیسے کام کرتا ہے۔
Nmap اسٹیلتھ اسکین کے آخری آرٹیکل میں وضاحت کی گئی تھی کہ TCP اور SYN کنکشن کیسے قائم ہوتے ہیں (اگر آپ کو معلوم نہیں تو ضرور پڑھیں) لیکن پیکٹ ختم ، پی اے اور یو آر جی کرسمس کے لیے خاص طور پر متعلقہ ہیں کیونکہ بغیر پیکٹ کے۔ SYN ، RST یا ALAS بندرگاہ بند ہونے پر کنکشن ری سیٹ (RST) میں مشتقات اور اگر بندرگاہ کھلی ہو تو کوئی جواب نہیں۔ اس طرح کے پیکٹوں کی عدم موجودگی سے پہلے ایف آئی این ، پی ایس ایچ اور یو آر جی کے مجموعے اسکین کرنے کے لیے کافی ہیں۔
FIN ، PSH اور URG پیکٹ:
پی ایس ایچ: ٹی سی پی بفر ڈیٹا کی منتقلی کی اجازت دیتے ہیں جب آپ زیادہ سے زیادہ سائز والے حصے سے زیادہ بھیجتے ہیں۔ اگر بفر مکمل نہیں ہے تو پرچم PSH (PUSH) ہیڈر بھر کر یا TCP کو پیکٹ بھیجنے کی ہدایت دے کر اسے بھیجنے کی اجازت دیتا ہے۔ اس پرچم کے ذریعے ٹریفک پیدا کرنے والی ایپلی کیشن ڈیٹا کو فوری طور پر بھیجنا چاہیے ، منزل کو مطلع کیا گیا ڈیٹا فوری طور پر ایپلیکیشن کو بھیجا جانا چاہیے۔
URG: یہ پرچم بتاتا ہے کہ مخصوص طبقات فوری ہیں اور ان کو ترجیح دی جانی چاہیے ، جب پرچم کو فعال کیا جاتا ہے تو وصول کنندہ ہیڈر میں 16 بٹس کا حصہ پڑھتا ہے ، یہ طبقہ پہلے بائٹ کے فوری اعداد و شمار کی نشاندہی کرتا ہے۔ فی الحال یہ جھنڈا تقریبا un غیر استعمال شدہ ہے۔
ختم: آر ایس ٹی پیکٹوں کی وضاحت اوپر دیئے گئے ٹیوٹوریل میں کی گئی تھی ( این میپ اسٹیلتھ اسکین۔ ) ، RST پیکٹوں کے برعکس ، FIN پیکٹ کنکشن ختم کرنے کے بارے میں مطلع کرنے کے بجائے اس سے بات چیت کرنے والے میزبان سے درخواست کرتا ہے اور کنکشن کو ختم کرنے کی تصدیق تک انتظار کرتا ہے۔
پورٹ سٹیٹس۔
کھولیں | فلٹر کردہ: Nmap پتہ نہیں لگا سکتا کہ آیا بندرگاہ کھلی ہے یا فلٹر ہے ، یہاں تک کہ اگر بندرگاہ کھلی ہے تو کرسمس اسکین اسے اوپن کے طور پر رپورٹ کرے گا۔
بند: Nmap پتہ لگاتا ہے کہ پورٹ بند ہے ، یہ تب ہوتا ہے جب جواب TCP RST پیکٹ ہو۔
فلٹر کردہ: Nmap اسکین شدہ بندرگاہوں کو فلٹر کرنے والی فائر وال کا پتہ لگاتا ہے ، یہ اس وقت ہوتا ہے جب ردعمل ICMP ناقابل رسائی غلطی (ٹائپ 3 ، کوڈ 1 ، 2 ، 3 ، 9 ، 10 ، یا 13) ہو۔ آر ایف سی معیارات کی بنیاد پر این ایم اے پی یا کرسمس اسکین پورٹ اسٹیٹ کی تشریح کرنے کے قابل ہے۔
کرسمس اسکین ، جس طرح NULL اور FIN اسکین بند اور فلٹر شدہ بندرگاہ میں فرق نہیں کر سکتا جیسا کہ اوپر بیان کیا گیا ہے ، کیا پیکٹ کا جواب ایک ICMP کی غلطی ہے Nmap اسے فلٹر کے طور پر ٹیگ کرتا ہے ، لیکن جیسا کہ Nmap کتاب میں وضاحت کی گئی ہے اگر تحقیقات ہے بغیر جواب کے پابندی لگا دی گئی ہے کہ یہ کھلا ہوا ہے ، لہذا Nmap کھلی بندرگاہوں اور بعض فلٹر شدہ بندرگاہوں کو بطور کھلا دکھاتا ہے | فلٹر شدہ۔
کرسمس اسکین کا کونسا دفاع پتہ لگا سکتا ہے؟
ٹی سی پی اسٹیک یا پروٹوکول ڈیٹاگرام کو نظر انداز کرتے ہوئے ٹریفک سورس ، منزل ، بندرگاہوں اور اسی طرح کے قوانین کے مطابق غیر ریاستی یا غیر ریاستی فائر وال پالیسیاں انجام دیتے ہیں۔ سٹیٹ لیس فائر والز ، سٹیٹفل فائر والز کے برعکس ، یہ جعلی پیکٹوں کا پتہ لگانے والے پیکٹوں کا تجزیہ کر سکتا ہے ، ایم ٹی یو (زیادہ سے زیادہ ٹرانسمیشن یونٹ) ہیرا پھیری اور این ایم اے پی اور دیگر سکیننگ سافٹ وئیر کے ذریعے فراہم کردہ دیگر تکنیکوں کا فائر وال سیکیورٹی کو نظرانداز کر سکتا ہے۔ چونکہ کرسمس حملہ پیکٹوں کی ہیرا پھیری ہے ، سٹیٹفل فائر والز اس کا پتہ لگانے کا امکان رکھتے ہیں جبکہ سٹیٹ لیس فائر والز نہیں ہیں ، اس لیے اگر مناسب طریقے سے کنفیگر کیا گیا تو انٹروژن ڈیٹیکشن سسٹم بھی اس حملے کا پتہ لگائے گا۔
ٹائمنگ ٹیمپلیٹس:
پاگل -T0 ، انتہائی سست ، آئی ڈی ایس کو بائی پاس کرنے کے لیے مفید (دخل اندازی کے نظام)
ڈرپوک: -T1 ، بہت سست ، IDS کو بائی پاس کرنے کے لیے بھی مفید (دخل اندازی کے نظام)
شائستہ: -T2 ، غیر جانبدار
عام: -T3 ، یہ ڈیفالٹ موڈ ہے۔
جارحانہ: -T4 ، تیز اسکین۔
پاگل: -T5 ، جارحانہ اسکین تکنیک سے تیز۔
Nmap کرسمس اسکین کی مثالیں
مندرجہ ذیل مثال لینکس ہنٹ کے خلاف ایک شائستہ کرسمس اسکین دکھاتی ہے۔
nmap -ایس ایکس۔ -ٹی 2۔linuxhint.com 
LinuxHint.com کے خلاف جارحانہ کرسمس اسکین کی مثال۔
nmap -ایس ایکس۔ -ٹی 4۔linuxhint.com 
جھنڈا لگا کر۔ -SV ورژن کا پتہ لگانے کے لیے آپ مخصوص بندرگاہوں کے بارے میں مزید معلومات حاصل کر سکتے ہیں اور فلٹر شدہ اور فلٹر شدہ بندرگاہوں کے درمیان فرق کر سکتے ہیں ، لیکن جب کہ کرسمس کو اسٹیلتھ اسکین تکنیک سمجھا جاتا تھا اس اضافے سے سکین کو فائر والز یا آئی ڈی ایس کے لیے زیادہ دکھائی دے سکتا ہے۔
nmap -SV -ایس ایکس۔ -ٹی 4۔linux.lat 
کرسمس سکین کو روکنے کے لیے آئی پی ٹیبلز کے قوانین
iptables کے درج ذیل اصول آپ کو کرسمس اسکین سے بچا سکتے ہیں۔
iptables-توان پٹ۔-پیٹی سی پی--tcp- پرچمFIN ، URG ، PSH FIN ، URG ، PSH۔-جےڈراپiptables-توان پٹ۔-پیٹی سی پی--tcp- پرچمتمام تمام-جےڈراپ
iptables-توان پٹ۔-پیٹی سی پی--tcp- پرچمسب کچھ نہیں۔-جےڈراپ
iptables-توان پٹ۔-پیٹی سی پی--tcp- پرچمSYN ، RST SYN ، RST۔-جےڈراپ
نتیجہ
اگرچہ کرسمس اسکین نیا نہیں ہے اور زیادہ تر دفاعی نظام اسے محفوظ کرنے والے اہداف کے خلاف متروک تکنیک بننے کا پتہ لگانے کے قابل ہیں ، یہ پی ایس ایچ اور یو آر جی جیسے غیر معمولی ٹی سی پی حصوں کو متعارف کرانے کا ایک بہترین طریقہ ہے اور جس طریقے سے این ایم اے پی پیکٹوں کا تجزیہ کرتا ہے اہداف پر نتائج حاصل کریں حملے کے طریقے سے زیادہ یہ اسکین آپ کے فائر وال یا انٹروژن ڈیٹیکشن سسٹم کو جانچنے کے لیے کارآمد ہے۔ اوپر بیان کردہ iptables قوانین دور دراز کے میزبانوں سے اس طرح کے حملوں کو روکنے کے لیے کافی ہونا چاہیے۔ یہ اسکین NULL اور FIN اسکین دونوں سے ملتا جلتا ہے جس طرح وہ کام کرتے ہیں اور محفوظ اہداف کے خلاف کم تاثیر۔
مجھے امید ہے کہ آپ نے یہ مضمون Nmap کا استعمال کرتے ہوئے کرسمس سکین کے تعارف کے طور پر مفید پایا۔ لینکس ، نیٹ ورکنگ اور سیکیورٹی کے لیے مزید تجاویز اور اپ ڈیٹس کے لیے لینکس ہنٹ کی پیروی کرتے رہیں۔
متعلقہ مضامین:
- Nmap کے ساتھ خدمات اور کمزوریوں کو کیسے اسکین کیا جائے۔
- این ایم اے پی اسکرپٹس کا استعمال: این ایم اے پی بینر پکڑنا۔
- این ایم اے پی نیٹ ورک سکیننگ
- nmap پنگ جھاڑو
- nmap جھنڈے اور وہ کیا کرتے ہیں۔
- اوپن وی ایس اوبنٹو انسٹالیشن اور ٹیوٹوریل۔
- Debian/Ubuntu پر Nexpose Vulnerability Scanner انسٹال کرنا۔
- ابتدائیوں کے لیے آئی ٹیبلز۔
اہم ذریعہ: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html