La documentation nmap indique ce qui suit pour les analyses NULLFIN et Xmas :
Lors de l’analyse de systèmes conformes à ce texte RFC, tout paquet ne contenant pas de bits SYN, RST ou ACK entraînera un RST retourné si le port est fermé et aucune réponse si le port est ouvert. Tant qu’aucun de ces trois bits n’est inclus, toute combinaison des trois autres (FIN, PSH et URG) est CORRECTE. Nmap exploite cela avec trois types d’analyse
Comme vous pouvez le voir, si le port est ouvert, aucune réponse ne sera renvoyée. Cela peut fonctionner dans des scénarios idéaux, mais vous pouvez parcourir un pare-feu qui peut bloquer l’accès à certains services.
Par exemple, vous avez une application web sur le port 80 qui devrait être accessible à tout le monde mais vous ne voulez pas que tout le monde puisse accéder à votre port ssh, configurez donc le pare-feu pour déposer des paquets avec l’indicateur SYN sur le port 22 s’il ne provient pas d’une adresse IP autorisée et répondez à un RST
Dans cet exemple, en utilisant un scan avec le drapeau SYN retournera un RST ce qui signifie que le port est fermé. Au lieu de cela, si nous utilisons un scan NULL par exemple – qui n’a pas l’indicateur SYN – ne sera pas supprimé par le pare-feu et retournera RST si le port est fermé ou rien s’il est ouvert.
Comment puis-je décider quand utiliser des scans XMAS ou FIN lorsque les deux ont la même réponse et les mêmes limitations?
Dans la plupart des cas, ces analyses devraient fonctionner de la même manière, la seule raison pour laquelle je peux penser à en choisir une plutôt qu’une autre est de contourner certains filtres de pare-feu. Dans l’exemple précédent, le pare-feu peut également supprimer des paquets d’une analyse NULL car il n’y a pas d’indicateurs dedans, donc l’interpréter comme un paquet corrompu. Dans ce cas, vous devez utiliser un scan qui a quelques drapeaux activés mais qui ne contient pas le drapeau SYN, comme FIN ou Xmasscans
Notez que vous ne pourrez pas savoir si le port est réellement ouvert si vous ne recevez aucune réponse car il est également possible que le pare-feu supprime la réponse RST lorsqu’un port est fermé, l’interprétant donc mal comme ouvert alors qu’il ne l’est pas. Pour que ce type d’analyse fonctionne correctement, vous devez avoir une connaissance préalable de la façon dont le serveur répond à ce type d’analyse en utilisant un port dont vous connaissez l’état exact (Dans notre exemple, il pourrait s’agir du port 80) et analyser les différentes réponses pour chaque type d’analyse