Port scanning

Come è noto TCP e UDP sono i due protocolli di trasporto previsti all'interno della suite TCP IP. Mentre UDP non ha il concetto di sessione, il TCP è un protocollo connection oriented, e per trasferire dati tra due host stabilisce innanzi tutto una sessione, che consente di tenere traccia della quantità dei dati scambiati, verificare che tutti i pacchetti arrivino a destinazione, e così via. Le specificità di UDP e TCP possono essere usate per effettuare porta scanning allo scopo di riconoscere quali host e servizi siano attivi su una rete remota.

Esistono molti tipi di port scanning, ne enumeriamo alcuni:

• TCP Connect
• SYN
• NULL
• FIN
• ACK
• Xmas TREE
• Dumb Scan

TCP Connect

E' il tentativo in assoluto più semplice, ed il più facile da bloccare. Semplicemente tentiamo di avviare una connessione inviando un pacchetto di SYN all'host su una determinata porta. L'host in oggetto, se ha aperta la porta in oggetto, risponde inviando un SYN/ACK, cui il nostro client, se è cortese, risponderà con un ACK.
Se invece siamo meno cortesi possiamo non far arrivare mai il pacchetto di ACK e passare alla porta successiva. il SYN scan funziona in maniera molto simile: invece di inviare un ACK, il client invia un RST, facendo chiudere la connessione.

SYN

Esiste una terza possibilità: non inviare proprio nulla. L'host rimane in attesa per un determinato periodo di tempo del completamento dell'handshaking e poi lascia cadere la connessione. In ogni caso una scansione del genere, sia TCP connet si SYN, se fatta con tempistiche aggressive, viene immediatamente intercettata da un IDS. Diversi router possono essere configurati per eseguire un drop delle connessioni quando riconoscono un attacco del genere ("aggressive mode").

NULL scan

Consiste nel inviare un pacchetto senza nessun flag settato. Il comportamento, come indicato nella RFC793 ( TRANSMISSION CONTROL PROTOCOL, Sept.1981 una piacevole lettura) prevede che un host che riceva un pacchetto con tutti i flag non settati lo scarti ed invii immediatamente un RST. Sfortunatamente non tutti i sistemi operativi rispettano la RFC 793; i sistemi operativi Windows ad esempio non lo fanno, inviando un RST tutte le volte che ricevono un NULL, indipendentemente dal fatto che la porta sia aperta. Questo tipo di scan non si può usare sulle macchine Microsoft.

FIN Scan

In questo caso si invia un pacchetto con un flag di FIN settato ad un host. Un host con una porta chiusa inierò un RST, mentre in cso di porta aperta non verrà inviata alcuna risposta. Valgono per le macchine Microsoft le stesse considerazioni fatte per il NULL scan.

ACK Scan

Normalmente un ACK fa parte del processo di handshaking nello scambio dati tra client e host. Inviando un ACK ad un firewall possiamo riconoscere quale porta è aperta o chiusa. Nello specifico se la porta è aperta riceveremo un RST, mentre se la porta è filtrata non riceveremo niente.

(prossima pagina >>)