ポートスキャンの手法に TCP Xmas tree scan という方法があります。この方法はTCPデータグラム中のすべてのフラグ、もしくは URG + PSH + FIN をオンにして送信し、返事の違いでポートの開閉を判断するものですが、なぜ、この方法の名前は”Xmas Tree” Scan というのでしょうか。


また、6つのフラグすべてをオンにする場合と上記の3つのみオンにする場合で何か違いがあるのでしょうか。

また、この時、サーバから最終的に返される返事としては「RST」のみが正しいのか、「RST + ACK」が正しいのか、どちらでしょうか。

各種ポートスキャン方法の違いを細かく記したサイトを教えてください(insecure.org以外)。尚、nmapについての質問ではありません。英語サイトでもいいです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:
  • 終了:--
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答2件)

id:finite_fairy No.1

回答回数29ベストアンサー獲得回数0

ポイント25pt

命名については

XMAS or ”Christmas Tree” scanning is named rightly so after the decorative effect the scan has with the flagging implementation.

だそうです。

上記のページからは返事はRSTのみに見えます

上のページに各種ポートスキャン方法も載ってます。

http://www.ncfreak.com/asato/doc/port_scan/

Global Domains International - GDI - Website.WS

別の日本語の解説サイト

6つのフラグすべてをオンにする場合と上記の3つのみオンにする場合…これはちょっと見つかりませんでした。

id:Frogman

ありがとうございます。「飾り立てる」という事からですか。解説サイトのURLもありがとうございました。

2004/08/12 21:21:26
id:aki73ix No.2

回答回数5224ベストアンサー獲得回数27

ポイント25pt

こちらの説明を見ると RST+ACKのようですね

こちらにステルススキャンの一覧があります

クリスマスツリースキャン - RFC793によれば、システムは特定のポートに対してFIN/URG/PUSH パケットを受信した際、閉じているTCPポートはRSTパケットを送り返すべきとされているそうです

上記サイトと逆ですね

というかNMAP系のマニュアルだけのようですACKまで返すのは

仕様ではRSTのみだけどACKも実際には返しているということかも知れません

ただ、XMAS TreeScanも FIN Scan同様Unix系のシステムで無いと意味を持たないようです

6bitONにしてしまうと SYN BitがOnになってしまいますから接続を確立し様として相手側にLogが残ってしまいステルススキャンの意味がなくなってしまいます。ただ、ステルススキャンは UNIX系OSのバグや仕様を利用したものなのでWindows系OSの場合SYN SCANを併用して検査しないと意味をなさないと言うことなのでしょう

In the case of a ”full” Xmas scan all pre-definedflags (FIN, SYN, RST, PSH, ACK and URG) are set.The packet is decorated like a Christmas tree(hence the name). A ”simple” Xmas scan has onlyFIN, PSH and URG set. According to RFC 793 thetarget system ought to send back RST for everyclosed port

パケットがクリスマスツリーのように飾られているからとあります

これを見ると、フルビットONにして送るのもクリスマスツリースキャンというようですね

まとめるとフルクリスマスツリースキャンは全OS対応、シンプルクリスマスツリースキャンはステルススキャンでUNIX向けと言うことではないでしょうか

id:Frogman

ありがとうございます。なかなか微妙ですね。ただ、名前の由来ははっきりしてきたようです。皆さんどうもありがとうございました。

2004/08/13 21:08:55

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません