Pada inverse TCP scan, attacker akan mengirimkan probe packet dengan TCP flag (FIN, URG, PSH) atau tanpa flags. Jika port open, attacker tidak akan mendapatkan response, sementara jika port closed, response RST akan dikirimkan oleh target host.
Mekanisme keamanan seperti firewall dan IDS akan mendeteksi SYN packet yang dikirim ke port pada target host. Program seperti Synlogger dan Courtney dapat melakukan log half-open SYN flag.
Flag yang umum digunakan dalam inverted scan adalah:
- FIN probe, menggunakan FIN TCP flag.
- XMAS probe, menggunakan FIN, URG dan PUSH TCP flag set.
- NULL probe, tanpa TCP flag.
- SYN/ACK probe.
Setiap closed port pada target akan mengirimkan respon RST/ACK. Untuk Windows OS, mengabaikan RFC793 standard, oleh karena itu kita tidak akan mendapatkan respon RST/ACK. Teknik ini efektif untuk OS berbasis UNIX.
Kelebihan
- Menghindari IDS dan logging systems.
Kekurangan
- Memerlukan raw access ke network sockets, jadi membutuhkan super user previleges.
- Efektif untuk host yang menggunakan BSD TCP/IP stack, tidak efektif OS berbasis Windows.
XMAS Scan
XMAS scan termasuk dari teknik inverse TCP scan dengan mengirimkan set flags FIN, URG dan PUSH. Jika port target host terbuka, maka tidak diperoleh response. Jika target memiliki closed port, respon RST akan diperoleh.
Kita dapat gunakan teknik ini untuk scan network yang besar untuk mencari live host dan service apa yang tersedia.
Ketika semua flag diset, beberapa system akan mengalami hang, oleh karena itu seringkali flag menggunakan pattern yang tidak masuk akal seperti URG-PSH-FIN.
Teknik ini hanya berjalan pada system yang mengikuti RFC 793-based TCP/IP implementation. Tidak bekerja untuk sistem windows. Jika target adalah windows, maka response yang diperoleh adalah semua port terbuka.
Pada nmap untuk melakukan Xmas scan digunakan opsi -sX, sementara -sN adalah NULL scan dan -sF adalah FIN scan.
$ nmap -sX <ip address>
$ nmap -sN <ip address>
$ nmap -sF <ip address>TCP Maimon Scan
Teknik ini mirip dengan NULL, FIN dan Xmas Scan, namun flag yang digunakan adalah FIN/ACK.
Nmap akan menginterpret port terbuka atau filtered jika tidak ada response dan port tertutup jika terdapat response RST. Untuk filtered port ketika terdapat ICMP unreachable error (type 3, code 1, 2, 3, 9, 10 atau 13).
Gunakan opsi -sM untuk melakukan maimon scan pada nmap.
