Articles

Che cos’è un Port Scanner e come funziona?

admin Settembre 18, 2021 0 Comment

Uno scanner di porte è un programma per computer che controlla le porte di rete per uno dei tre possibili stati: aperto, chiuso o filtrato.

I port scanner sono strumenti preziosi per diagnosticare problemi di rete e connettività. Tuttavia, gli aggressori utilizzano port scanner per rilevare possibili punti di accesso per infiltrazioni e per identificare quali tipi di dispositivi sono in esecuzione sulla rete, come firewall, server proxy o server VPN. Qui, ti guideremo attraverso i pro ei contro di uno scanner di porte, tra cui:

  • Come funziona uno scanner di porte
  • Tecniche di scansione delle porte
  • Strumenti di scansione delle porte
  • Come rilevare una scansione delle porte
  • Perché eseguire una scansione delle porte

Come funziona uno scanner di porte?

tre possibili risposte di scansione delle porte

Uno scanner di porte invia una richiesta di rete per connettersi a una porta TCP o UDP specifica su un computer e registra la risposta.

Quindi, ciò che fa uno scanner di porte è inviare un pacchetto di dati di rete a una porta per controllare lo stato corrente. Se si desidera verificare se il server Web funzionava correttamente, è necessario controllare lo stato della porta 80 su quel server per assicurarsi che fosse aperta e in ascolto.

Lo stato aiuta i tecnici di rete a diagnosticare problemi di rete o problemi di connettività delle applicazioni, o aiuta gli aggressori a trovare possibili porte da utilizzare per l’infiltrazione nella rete.

Che cos’è una porta?

Una porta è una posizione virtuale in cui la comunicazione di rete inizia e termina (in poche parole). Per una spiegazione più approfondita, abbiamo bisogno di stabilire un po ‘ di informazioni di base. Ci sono due tipi di porte di rete su ogni computer (65,536 di ciascuno per un totale di 131,082 porte di rete):

  • TCP e UDP

Ogni computer ha un indirizzo IP (Internet Protocol), che è il modo in cui la rete sa a quale computer inviare i pacchetti. Se si invia un pacchetto all’indirizzo IP, il computer sa quale porta instradare il pacchetto in base all’applicazione o al contenuto del pacchetto. Ogni servizio in esecuzione sul computer deve “ascoltare” su una porta designata.

Le prime 1023 porte TCP sono le ben note porte riservate ad applicazioni come FTP(21), HTTP(80) o SSH(22) e l’Internet Assigned Numbers Authority (IANA) riserva questi punti per mantenerli standardizzati.

Le porte TCP 1024 – 49151 sono disponibili per l’uso da parte di servizi o applicazioni e puoi registrarle con IANA, quindi sono considerate semi-riservate. Porte 49152 e superiori sono liberi di utilizzare.

Nozioni di base sulla scansione delle porte

Uno scanner di porte invia un pacchetto di rete TCP o UDP e chiede alla porta il loro stato corrente. I tre tipi di risposte sono i seguenti:

  1. Aperto, Accettato: Il computer risponde e chiede se c’è qualcosa che può fare per te.
  2. Chiuso, non in ascolto: Il computer risponde che ” Questa porta è attualmente in uso e non disponibile in questo momento.”
  3. Filtrato, abbandonato, bloccato: il computer non si preoccupa nemmeno di rispondere.

Le scansioni delle porte si verificano generalmente all’inizio della catena di cyber kill, durante la ricognizione e l’intrusione. Gli aggressori utilizzano le scansioni delle porte per rilevare gli obiettivi con porte aperte e inutilizzate che possono riutilizzare per infiltrazione, comando e controllo ed esfiltrazione dei dati o scoprire quali applicazioni vengono eseguite su quel computer per sfruttare una vulnerabilità in quell’applicazione.

Tecniche di scansione delle porte

cinque tecniche di scansione delle porte

Nmap è uno dei più popolari strumenti di scansione delle porte open-source disponibili. Nmap fornisce una serie di diverse tecniche di scansione delle porte per diversi scenari.

Ping Scanner

Le scansioni delle porte più semplici sono le scansioni ping. Un ping è una richiesta di eco ICMP (Internet Control Message Protocol): stai cercando qualsiasi risposta ICMP, che indica che il target è vivo. Una scansione ping è un’esplosione automatica di molte richieste di eco ICMP a diversi target per vedere chi risponde. Le scansioni ping non sono tecnicamente tecniche di scansione delle porte, in quanto il meglio che puoi ottenere è che c’è un computer dall’altra parte, ma è correlato e di solito il primo compito prima di eseguire una scansione delle porte.

Gli amministratori di solito disabilitano ICMP (ping) sul firewall o sul router per il traffico esterno e lo lasciano aperto all’interno della rete. È facile e veloce disattivare questa funzionalità e rendere impossibile esplorare la rete in questo modo. Tuttavia, ping è un utile strumento di risoluzione dei problemi, e spegnendolo rende rintracciare i problemi di rete un po ‘ più difficile.

TCP Half Open

Una delle tecniche di scansione delle porte più comuni e popolari è la scansione delle porte TCP half-open, a volte indicata come scansione SYN. È una scansione veloce e subdola che cerca di trovare potenziali porte aperte sul computer di destinazione.

I pacchetti SYN richiedono una risposta da un computer e un pacchetto ACK è una risposta. In una tipica transazione TCP, c’è un SYN, un ACK dal servizio e un terzo messaggio di conferma ACK ricevuto.

Questa scansione è veloce e difficile da rilevare perché non completa mai l’handshake a 3 vie TCP. Lo scanner invia un messaggio SYN e nota solo le risposte SYN-ACK. Lo scanner non completa la connessione inviando l’ACK finale: lascia il bersaglio sospeso.

Eventuali risposte SYN-ACK sono possibilmente porte aperte. Una PRIMA risposta (reset) significa che la porta è chiusa, ma qui c’è un computer live. Nessuna risposta indica che SYN è filtrato sulla rete. Un ICMP (o ping) nessuna risposta conta anche come risposta filtrata.

Le scansioni TCP semiaperte sono la scansione predefinita in NMAP.

TCP Connect

Questa tecnica di scansione delle porte è fondamentalmente la stessa della scansione semiaperta TCP, ma invece di lasciare il bersaglio sospeso, lo scanner delle porte completa la connessione TCP.

Non è una tecnica così popolare come il TCP semiaperto. In primo luogo, è necessario inviare un altro pacchetto per scansione, che aumenta la quantità di rumore che si sta facendo sulla rete. In secondo luogo, dal momento che si completa la connessione del bersaglio, si potrebbe scattare un allarme che la scansione semiaperta non avrebbe.

È più probabile che i sistemi di destinazione registrino una connessione TCP completa e che i sistemi di rilevamento delle intrusioni (IDS) attivino allarmi su più connessioni TCP dallo stesso host.

Il vantaggio della scansione TCP connect è che un utente non ha bisogno dello stesso livello di privilegi per eseguire la scansione semiaperta. Le scansioni TCP connect utilizzano i protocolli di connessione che ogni utente deve avere per connettersi ad altri sistemi.

UDP

Le scansioni UDP sono più lente delle scansioni TCP, ma ci sono molti servizi UDP sfruttabili che gli aggressori possono usare, esfiltrazione DNS, per esempio. I difensori devono proteggere le loro porte UDP con la stessa voracità delle loro porte TCP.

Le scansioni UDP funzionano meglio quando si invia un payload specifico alla destinazione. Ad esempio, se si desidera sapere se un server DNS è attivo, è necessario inviare una richiesta DNS. Per altre porte UDP, il pacchetto viene inviato vuoto. Una risposta ICMP irraggiungibile significa che la porta è chiusa o filtrata. Se c’è un servizio in esecuzione, potresti ottenere una risposta UDP, il che significa che la porta è aperta. Nessuna risposta potrebbe significare che la porta è aperta o filtrata.

Un altro uso logico di una scansione UDP è quello di inviare una richiesta DNS alla porta UDP 53 e vedere se si ottiene una risposta DNS. Se si ottiene una risposta, si sa che c’è un server DNS su quel computer. Una scansione UDP può essere utile per individuare i servizi attivi in questo modo e lo scanner di porte Nmap è preconfigurato per inviare richieste per molti servizi standard.

Differenza tra TCP e UDP

TCP e UDP sono i due protocolli più comuni in uso per le reti IP (Internet Protocol). Transmission Control Protocol (TCP) è un bel protocollo di transazione ordinato: TCP invia ogni pacchetto in ordine, completo di controllo degli errori, verifica e una stretta di mano a 3 vie per confermare che ogni pacchetto ha successo.

UDP non ha alcun controllo degli errori ma tende ad essere più veloce. Lo streaming live e i videogiochi online utilizzano spesso UDP per questo motivo. UDP è un protocollo senza connessione, quindi i programmi che utilizzano UDP inviano i dati e se si perde un pacchetto, non lo si otterrà mai più.

Scansione stealth

Alcune scansioni delle porte sono più facili da rilevare rispetto ad altre, quindi i difensori devono conoscere questi flag TCP che consentono agli aggressori di rendere le loro scansioni delle porte difficili da rilevare.

Quando si invia una scansione della porta con un pacchetto e il flag FIN, si invia il pacchetto e non si aspetta una risposta. Se ottieni un RST, puoi supporre che la porta sia chiusa. Se non ottieni nulla, ciò indica che la porta è aperta. I firewall sono alla ricerca di pacchetti SYN, quindi i pacchetti FIN passano inosservati.

La scansione X-MAS invia un pacchetto con i flag FIN, URG e PUSH e si aspetta una prima o nessuna risposta, proprio come la scansione FIN. Non c’è molto uso pratico per questa scansione, ma rende il pacchetto simile a un albero di Natale, quindi c’è quello.

Puoi anche inviare pacchetti senza flag, chiamati pacchetto NULL, e la risposta è o un RST o niente.

La cosa buona – per l’hacker – di queste scansioni è che di solito non appaiono nei log. Più recente Intrusion Detection Software (IDS) e, naturalmente, WireShark catturerà queste scansioni. La cattiva notizia è che se l’obiettivo è un sistema operativo Microsoft, vedrai solo porte chiuse, ma se trovi una porta aperta, puoi presumere che non sia una macchina Windows. Il vantaggio più significativo dell’utilizzo di queste bandiere è che possono scivolare oltre i firewall, il che rende i risultati più affidabili.

Tecniche di scansione aggiuntive

Le scansioni di cui abbiamo discusso sono le più comuni, ma questo non è un elenco esaustivo. Ecco alcune altre scansioni e le ragioni per eseguirle:

  • TCP ACK scan: per mappare regole di firewalling
  • TCP Window scan: è possibile differenziare le porte aperte e porte chiuse, ma funziona solo su una minoranza di sistemi
  • –scanflags: per l’utente avanzato che vogliono inviare i loro custom flag TCP in una scansione, si può fare in Nmap

Porta Strumenti di analisi

  1. Nmap
  2. Solarwinds Port Scanner
  3. Netcat
  4. Advanced Port Scanner
  5. NetScan Strumenti

Come Rilevare un Port Scan?

quattro metodi di rilevamento della scansione delle porte

Esistono alcune tecniche diverse per rilevare le scansioni delle porte, che potrebbero essere tentativi di scansione della rete alla ricerca di vulnerabilità.

Uno è un’applicazione software dedicata del rivelatore di ricerca della porta, come PortSentry o Scanlogd.

Netcat include funzionalità di scansione delle porte e la possibilità di creare un semplice server di chat o programmare pacchetti diversi a scopo di test.

I sistemi di rilevamento delle intrusioni (IDS) sono un altro modo per rilevare le scansioni delle porte. Cerca un ID che utilizza un’ampia varietà di regole per rilevare i vari tipi di scansioni delle porte che non sono semplicemente basate sulla soglia.

Perché eseguire una scansione delle porte?

È necessario eseguire scansioni delle porte in modo proattivo per rilevare e chiudere tutte le possibili vulnerabilità che gli aggressori potrebbero sfruttare.

La scansione proattiva delle porte è una buona abitudine che dovresti ripetere regolarmente. Inoltre, rivedere e controllare tutte le porte aperte per verificare che vengano utilizzate correttamente e che tutte le applicazioni che utilizzano porte aperte siano sicure e protette da vulnerabilità note.

Implicazioni dell’esecuzione di una scansione delle porte

Ecco alcuni avvertimenti per l’esecuzione di scansioni delle porte. Alcuni servizi o computer potrebbero non riuscire da una scansione delle porte. Questo è per i sistemi interni più di sistemi internet-facing, ma può accadere.

Eseguire scansioni delle porte senza autorizzazione può essere considerata un’azione aggressiva e, se si è su una rete condivisa, è possibile eseguire la scansione di un sistema che non è sotto il proprio controllo, il che non è buono.

Le scansioni delle porte sono una parte fondamentale della costruzione di una buona difesa dagli attacchi informatici. Gli aggressori utilizzano scansioni delle porte, pure. Hai bisogno di batterli al pugno e chiudere possibili vettori di attacco e rendere la loro vita il più difficile possibile.

Proteggere il perimetro è solo una parte della battaglia, tuttavia. Devi proteggere e monitorare i tuoi dati con la stessa vigilanza che proteggi e monitora le tue porte. Varonis Data Security Platform ti aiuta a proteggere i tuoi dati creando barriere interne ai tuoi dati più sensibili e monitorando quindi tutte le attività che potrebbero influire su tali dati.

Dai un’occhiata al nostro Live Cyber Attack lab per vedere come Varonis protegge i dati da diversi attacchi.

admin

Related Posts

Geología física

Gennaio 7, 2022

Géologie physique

Gennaio 7, 2022

Geologia fisica

Gennaio 7, 2022

geologia fizică

Gennaio 7, 2022

fizikai Geológia

Gennaio 7, 2022

fysikaalinen geologia

Gennaio 7, 2022

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *