Il PortScan : Logica utile per il controllo e l’attacco

PortScan

Il Port-Scan non  è altro che una serie di messaggi inviati da una periferica in rete verso un’altra per tentare di sapere quali servizi di rete, ciascuno associato a un numero di porta, ha in ascolto. Il Port-Scan è un approccio sia per il controllo dei propri server/servizi che logica preferita dai cracker informatici dato che fornisce all’aggressore un’idea dei servizi attivi. In sostanza, un Port-Scan consiste nell’inviare un messaggio ad ogni porta, una alla volta. Il tipo di risposta ricevuta indica se la porta è utilizzata e può quindi essere sondata per individuare eventuali punti deboli.

Quando un criminale prende di mira una casa per un furto con scasso, di solito la prima cosa che controlla è se c’è una finestra aperta o una porta attraverso la quale si può accedere alla casa. Un Port-Scan è simile, solo le finestre e le porte sono le porte del personal computer .

portscan
Port_Scan

Come ?

Di solito il Port-Scan si effettua mediante software specifici.

Il software di scansione delle porte, nel suo stato più semplice, invia semplicemente una richiesta di connessione al computer di destinazione su ciascuna porta in sequenza e annota le porte che hanno risposto o che sembrano aperte a ispezioni più approfondite.

Se il Port-Scan viene eseguito con intento doloso, l’intruso generalmente preferisce non essere rilevato. Le applicazioni di sicurezza di rete possono essere configurate per avvisare gli amministratori se rilevano richieste di connessione su un’ampia gamma di porte da un singolo host. Per aggirare questo problema, l’intruso può eseguire il Port-Scan in modalità  strobe o stealth mode. La scansione “Strobe Mode” limita le porte a un set di destinazione più piccolo anziché alla scansione coperta di tutte le 65536 porte. La scansione”Stelt Mode” utilizza tecniche come rallentare la scansione. La scansione delle porte per un periodo di tempo molto più lungo riduce la possibilità che la destinazione generi un avviso.

Impostando diversi flag TCP o inviando diversi tipi di pacchetti TCP, il Port-Scan può generare risultati diversi o localizzare le porte aperte in modi diversi.

Una scansione SYN indicherà allo scanner quali porte sono in ascolto e quali non dipendono dal tipo di risposta generata.

Una scansione FIN genererà una risposta dalle porte chiuse, ma le porte aperte e in ascolto non invieranno una risposta, quindi lo scanner sarà in grado di determinare quali porte sono aperte e quali no.

Sono disponibili diversi metodi per eseguire le scansioni delle porte effettive, nonché alcuni trucchi per nascondere la vera origine di un Port-Scan.

Ricapitoliamo

Port-Scan di base: Si tratta del tipo di scansione delle porte più semplice, che comporta la scansione di una porta designata mediante l’invio di un pacchetto specificamente configurato che contiene il numero di porta della porta da scansionare. Questa tecnica viene utilizzata per determinare quale porta è disponibile all’interno di una macchina specifica.

TCP Connect: Una connessione TCP viene utilizzata per eseguire la scansione di una serie di porte su una macchina per determinare la disponibilità delle porte. Se una porta della macchina è in ascolto, la connessione TCP è riuscita a raggiungere quella specifica porta.

Strobe: Questo tipo di scansione viene generalmente utilizzato da un hacker per trovare le porte che l’hacker già sa sfruttare. Una scansione strobe esegue la scansione a un livello più ristretto e consente anche di rivelare il nome utente della connessione TCP.

Stealt: Questo tipo di scansione è specificamente progettato per l’hacking perché è impostato per non essere rilevato dagli strumenti di auditing della rete. Quando si utilizza uno scanner di porte, le porte in ascolto registrano un messaggio di errore se viene rilevata una connessione in entrata ma non vi sono dati associati alla connessione. Le scansioni Stealt sono in grado di bypassare questo processo e quindi non vengono rilevate durante gli audit.