[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

【超过500家企业部署】AWS搭建、运维、监控服务

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

[YouTube]超越官方频道“美由丸频道”

圣诞快乐。∠(*·m·)v 你知道圣诞扫描吗?

你好。
我是系统解决方案部门的 Kawa。

年底过得真快。
到了下午 5 点,外面已经天黑了,寒冷,我想在每年的这个时候在被炉下取暖并玩 Switch。

十二月意味着圣诞节。
虽然圣诞老人已经很久没有来看望我了,但
看到闪闪发光的城市景观还是很美好很迷人∠(*·m·)v

正如标题所说,IT也和圣诞节有关。
你知道“圣诞(树)扫描”吗?
这是网络攻击的一个名字,而且很有趣,技术人员有很多杜撰的词
(尽管实际上被攻击并不是很有趣),
所以我想这次我应该写一些关于这次圣诞节扫描的内容。

什么是圣诞节扫描?

它有多种名称,例如圣诞节扫描和圣诞树攻击,但这
来自数据包中的控制标志。

我认为攻击者通常使用隐形扫描作为端口扫描方法来避免被抓住

数据包(我们这次讨论的是 TCP)有一个 6 位部分,称为控制标志,
它控制连接。 ACK和SYN很有名。
以下三个用于圣诞节扫描。

URG(紧急) ——包含需要紧急处理的数据(优先级)

PSH (Push) - 立即将数据传递到上层而不进行缓冲

RST(重置) - 强制断开连接

除了 RST 之外,它可能是一个您不习惯听到的标志。

其作为第一个数据包发送来测试目标的反应

为什么圣诞节?

如上所述,这与升起的三面旗帜有关,但对我来说根本没有任何意义。
实际上,这需要使用Wireshark等进行数据包捕获和可视化,但

标志部分是彩色的。另外,flag结构是在树的右半部分吗?
因为它具有圆锥形的形状,看起来就像是对树进行了装饰。

这么

认为

为什么这是一次攻击?

它更像是端口扫描而不是攻击,因此可以更准确地称为“攻击准备”。
如您所知,TCP 数据包遵循 SYN~ACK~FIN 等 3 次握手流程。
但是,如果该流被忽略并且出现状态外的数据包怎么办?

- 如果相应的端口打开,则
如果端口打开,
基本上不会有任何响应
这意味着,通过未收到响应,第三方可以轻松发现端口已打开

- 如果对应的端口没有打开
这种情况是不允许的,所以基本上返回的是一个RST包。
然而,发件人会知道它已“关闭”。

顺便说一句,Windows规范似乎无论打开还是关闭都会以RST响应,因此
操作系统有可能被泄露。
此外,行为会根据防火墙或UTM而变化,例如是否抛出RST,
因此根据与其他攻击的组合,开放端口可能会被泄露。

完全的

如果您觉得这篇文章有帮助,请点赞!
10
加载中...
10 票,平均:1.00 / 110
1,589
X Facebook 哈特纳书签 口袋
[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

写这篇文章的人

关于作者

川健

属于系统解决方案部的
好奇的 Poke○n