La documentación de nmap indica lo siguiente para los análisis NULLFIN y Xmas:
Cuando los sistemas de escaneo cumplen con este texto RFC, cualquier paquete que no contenga bits SYN, RST o ACK dará como resultado un RST devuelto si el puerto está cerrado y ninguna respuesta si el puerto está abierto. Mientras no se incluya ninguno de esos tres bits, cualquier combinación de los otros tres (FIN, PSH y URG) está bien. Nmap explota esto con tres tipos de análisis
Como puede ver, si el puerto está abierto no se devolverá respuesta. Esto puede funcionar en escenarios ideales, pero es posible que esté escaneando a través de un firewall que puede bloquear el acceso a ciertos servicios.
Por ejemplo, tiene una aplicación web en el puerto 80 que debería ser accesible para todos, pero no desea que todos puedan acceder a su puerto ssh, así que configure el firewall para que suelte paquetes con la bandera SYN en el puerto 22 si no es de una IP autorizada y responda a un RST
En este ejemplo, utilizando un escaneo con la bandera SYN devolverá un RST que significa que el puerto está cerrado. En su lugar, si usamos un escaneo NULL, por ejemplo, que no tenga la bandera SYN, no será eliminado por el firewall y devolverá RST si el puerto está cerrado o nada si está abierto.
¿Cómo decido cuándo usar escaneos de NAVIDAD o de ALETAS cuando ambos tienen la misma respuesta y las mismas limitaciones?
En la mayoría de los casos, esos escaneos deberían funcionar de la misma manera, la única razón por la que se me ocurre elegir uno sobre otro es evitar ciertos filtros de firewall. En el ejemplo anterior, el firewall también puede soltar paquetes de un escaneo NULL ya que no hay banderas en él, por lo tanto, interpretándolo como paquete dañado. En este caso, debe usar un escaneo que tenga algunos indicadores activados pero que no contenga el indicador SYN, como FIN o Xmas escanea
Tenga en cuenta que no podrá saber si el puerto está realmente abierto si no recibe respuesta, ya que también es posible que el firewall elimina la respuesta RST cuando un puerto está cerrado, por lo que lo malinterpreta como abierto cuando no lo está. Para que este tipo de análisis funcione correctamente, debe tener un conocimiento previo de cómo responde el servidor a ese tipo de análisis utilizando un puerto para el que conozca el estado exacto (en nuestro ejemplo, podría ser el puerto 80) y analizar las diferentes respuestas para cada tipo de análisis