HackGeek

Sono appena rientrato dalle ferie e mentre stavo riposando in spiaggia mi sono ripromesso di scrivere un articolo sulla Sicurezza Informatica.

Il primo articolo dopo le ferie tratterà: La Scansione delle porte.

La scansione delle porte è un metodo per determinare quali porte sono in ascolto e accettano connessioni. Devi sapere che molti servizi sono eseguiti su porte standard, quindi puoi determinare facilmente quali servizi sono in esecuzione.

La scansione più semplice consiste nel tentare di stabilire una connessione TCP su tutte le porte possibili del sistema preso in esame. Devi sapere però che questo metodo è molto semplice da effettuare ma anche molto semplice da rilevare, inoltre quando si stabilisce una connessione, il servizio solitamente registra l’indirizzo IP in file di log.

Chiaramente per non essere scoperti sono state implementate svariate soluzioni che andremo a trattare in questo articolo.

Lo strumento Open Source più diffuso nel campo delle scansione di porte è senza dubbio: Nmap, scritto da Fyodor.

Vediamo insieme alcuni tipi di scansioni:

Scansione SYN stealth

Una scansione SYN (chiamata anche semiaperta), è un tipo di scansione in cui non viene effettivamente aperta una connessione TCP completa. Una connessione per essere stabilita deve completare il processo di handshaking. In questo caso si dovrebbe inviare un pacchetto SYN , ricevere un pacchetto SYN/ACK e rinviare un pacchetto ACK.

Nel nostro caso invieremo solamente un pacchetto SYN e staremo ad aspettare una risposta: se riceveremo un pacchetto SYN/ACK possiamo dedurre che la porta accetta connessioni, si registra questo avvenimento e si rimanda un pacchetto RST per chiudere la connessione.

Vediamo come usare Nmap per effettuare una scansione  SYN.

Se non hai ancora installato il tool puoi aprire il terminale e digitare: sudo apt-get install nmap. Siamo pronti…

Apriamo un terminale e digitiamo il seguente comando:

sudo nmap -sS URLsitovittima (oppure inserite l’IP)

Come puoi vedere dall’immagine adesso hai un quadro completo sulle porte che accettano connessioni o meno.

Scansioni FIN, X-mas e Null

Questa volta andremo ad inviare un pacchetto privo di senso ad ogni porta del sistema.

Se una porta è in ascolto, il pacchetto verrà ignorato, mentre nel caso in cui una porta fosse chiusa, verrà rinviato un pacchetto RST.

Questo ci può tornare molto utile per capire quali porte accettano connessioni senza aprire effettivamente una connessione. Queste scansioni sono meno facili da rilevare ma bisogna comunque prestare la massima attenzione, in quento si potrebbero rilevare inaffidabili.

Per effettuare questo tipo di scansione basta aprire un terminale e digitare:

sudo nmap -sF URLsitovittima –> FIN

sudo nmap -sX URLsitovittima –> X-mas

sudo nmap -sN URLsitovittima –> NULL

Esche (decoy)

Un metodo per non essere rilevati consiste nel nascondersi tra delle “esche”.

Il concetto è quello di effettuare svariate scansioni da indirizzi IP esca. Le risposte ottenute da queste connessioni contraffatte non ci serviranno direttamente ma ci serviranno come diversivo.

Se vogliamo per esempio effettuare una scansione con esca (decoy) dell’ IP 192.168.42.72, e usare come esche 192.168.42.10 e 192.168.42.11 basterà aprire un terminale e digitare:

sudo nmap -D 192.168.42.10,192.168.42.11 192.168.42.72

Se questa piccola introduzione ti ha stimolato la fantasia e hai voglia di approfondire l’argomento, ti consiglio di leggere la Guida di Riferimento di Nmap.

Ti è stato utile questo articolo? hai suggerimenti da darmi? Lascia un Commento.

Segnala presso: