■TCP Xmasスキャン(TCP Xmas scan)
ステルス・スキャンの手法の1つ。クリスマス・ツリー・スキャン(Christmas tree scan)ともいう。パケットに複数のフラグが立てられている(飾られる)ことから、Xmasスキャンと呼ばれる。
TCPによるネットワーク接続が確立していない状態で、「FIN(接続終了)」「URG(緊急)」「PSH(受信データを上位アプリケーションへすみやかに引き渡すように要求)」の3種のフラグ付きパケットを送ることで、接続先から何も返信されない場合にはポートが開いている、RSTパケットが返信されてきた場合にはポートが閉じている、とそれぞれ判断するポート・スキャン手法である。通常の接続手順では、これらの3種類のフラグが同時に付いたパケットが送られることがないため、TCPの接続手順から外れた方法として、接続先にログが残らない。
なおWindows OSの場合はポートの状態に関係なく、RSTを返信するため、TCP Xmasスキャンによってポートの状態が把握されることはない。しかし、この特性を悪用し、接続先のOSを把握することが可能になる。TCP
FINスキャンと同様、そのほかのスキャン手法との併用によって、より確度の高いポート状態の把握が行われてしまう危険性がある。
|