aiutocomputerhelp
Sicurezza Informatica

Il PortScan : Logica utile per il controllo e l’attacco.

Giovanni Popolizio , , , , ,

PortScan

Il Port-Scan non  è altro che una serie di messaggi inviati da una periferica in rete verso un’altra per tentare di sapere quali servizi di rete, ciascuno associato a un numero di porta, ha in ascolto. Il Port-Scan è un approccio sia per il controllo dei propri server/servizi che logica preferita dai cracker informatici dato che fornisce all’aggressore un’idea dei servizi attivi. In sostanza, un Port-Scan consiste nell’inviare un messaggio ad ogni porta, una alla volta. Il tipo di risposta ricevuta indica se la porta è utilizzata e può quindi essere sondata per individuare eventuali punti deboli.

Per capire meglio il concetto, possiamo fare un parallelo con un furto con scasso in una casa. Quando un criminale prende di mira una casa, la prima cosa che fa è cercare finestre aperte o porte accessibili per entrare. Nel mondo dell’informatica, un Port-Scan è simile a questo processo, ma invece di finestre e porte, stiamo cercando le porte di un computer, cioè le porte attraverso le quali i servizi di rete sono accessibili.

 

portscan
PortScan

Come ?

Di solito il Port-Scan si effettua mediante software specifici.

Il software di scansione delle porte, nel suo stato più semplice, invia semplicemente una richiesta di connessione al computer di destinazione su ciascuna porta in sequenza e annota le porte che hanno risposto o che sembrano aperte a ispezioni più approfondite.

Se il Port-Scan viene eseguito con intento doloso, l’intruso generalmente preferisce non essere rilevato. Le applicazioni di sicurezza di rete possono essere configurate per avvisare gli amministratori se rilevano richieste di connessione su un’ampia gamma di porte da un singolo host.

Per aggirare questo problema, l’intruso può eseguire il Port-Scan in modalità  strobe o stealth mode.

La scansione “Strobe Mode” limita le porte a un set di destinazione più piccolo anziché alla scansione coperta di tutte le 65536 porte.

La scansione”Stelt Mode” utilizza tecniche come rallentare la scansione. La scansione delle porte per un periodo di tempo molto più lungo riduce la possibilità che la destinazione generi un avviso.

Windows scan

La Windows scan è simile alla TCP ACK scan, ma questa scansione può identificare anche le porte aperte. È chiamata window scan perché alcuni stack TCP forniscono una dimensione specifica della finestra quando si risponde ad un frame RST. Quando il pacchetto ACK viene inviato alla porta remota, la porta aperta risponderà con il pacchetto RST insieme alla dimensione della finestra non zero, mentre la porta chiusa risponderà con il pacchetto RST insieme alla dimensione della finestra zero.

Il vantaggio di questa scansione è che genera un traffico minimo e non apre una sessione, il che rende più difficile da rilevare. Lo svantaggio è che non funziona su tutti i dispositivi.

Idle scan

Una Idle scan è una buona opzione quando si vuole mantenere l’anonimato durante la scansione. La scansione comporta l’invio di pacchetti falsificati all’host di destinazione che sembra provenire da un altro host. Questa scansione utilizza l’indirizzo IP di un altro host come indirizzo IP di origine invece di inviare l’indirizzo IP della macchina dell’aggressore.
L’host inattivo coinvolto in questa scansione viene chiamato zombie e quindi questa scansione viene talvolta definita come scansione zombie.

 

Impostando diversi flag TCP o inviando diversi tipi di pacchetti TCP, il Port-Scan può generare risultati diversi o localizzare le porte aperte in modi diversi.

Una scansione SYN indicherà allo scanner quali porte sono in ascolto e quali non dipendono dal tipo di risposta generata.

Una scansione FIN genererà una risposta dalle porte chiuse, ma le porte aperte e in ascolto non invieranno una risposta, quindi lo scanner sarà in grado di determinare quali porte sono aperte e quali no.

Sono disponibili diversi metodi per eseguire le scansioni delle porte effettive, nonché alcuni trucchi per nascondere la vera origine di un Port-Scan.

Ricapitoliamo – PortScan

Port-Scan di base: Si tratta del tipo di scansione delle porte più semplice, che comporta la scansione di una porta designata mediante l’invio di un pacchetto specificamente configurato che contiene il numero di porta della porta da scansionare. Questa tecnica viene utilizzata per determinare quale porta è disponibile all’interno di una macchina specifica.

TCP Connect: Una connessione TCP viene utilizzata per eseguire la scansione di una serie di porte su una macchina per determinare la disponibilità delle porte. Se una porta della macchina è in ascolto, la connessione TCP è riuscita a raggiungere quella specifica porta.

Strobe: Questo tipo di scansione viene generalmente utilizzato da un hacker per trovare le porte che l’hacker già sa sfruttare. Una scansione strobe esegue la scansione a un livello più ristretto e consente anche di rivelare il nome utente della connessione TCP.

Stealt: Questo tipo di scansione è specificamente progettato per l’hacking perché è impostato per non essere rilevato dagli strumenti di auditing della rete. Quando si utilizza uno scanner di porte, le porte in ascolto registrano un messaggio di errore se viene rilevata una connessione in entrata ma non vi sono dati associati alla connessione. Le scansioni Stealt sono in grado di bypassare questo processo e quindi non vengono rilevate durante gli audit.

 

Key: PortScan