Portscan – Entendendo melhor o ataque.


O que é Portscan?

O Portscan, que foi criado para que os administradores pudessem visualizar os serviços em sua rede, é como os atacantes geralmente começam a buscar informações em seu servidor. Verifica quais os serviços e portas que se encontram abertas e em uso no servidor. Capaz de localizar vulnerabilidades entre maquinas que se encontram na rede.

Não entendi nada!

Bem, analogicamente, podemos comparar o Portscan com um ladrão, que vigia um bairro inteiro a procura de janelas e portas abertas, por onde possa entrar.

Mas como ele faz isso?

Primeiro precisamos entender que, como manda a RFC do TCP, quando começamos uma negociação para conexão TCP com outro computador, mandamos um pacote com a flag SYN ativada, e ele deve então responder um pacote com as flags SYN+ACK ativadas, ou seja, quando há resposta a porta se encontra aberta, dependendo da porta sabemos qual o serviço que se encontra ativo nela.

Ha vários tipos de portscanner, uns mais efetivos e mais “seguros” para os atacantes, ou seja, que deixam menos rastros. Vamos aos tipos:

  1. Método connect() ou “Dumb Scan” – E um método antigo e simples, utiliza o processo que foi descrito acima. Felizmente, quando se utiliza esse método, o atacante, quando recebe o SYN+ACK, devolve um pacote ACK onde inicia a conexão, porem nesse mesmo momento é possível se identificar a origem. O ataque é facilmente detectado.
  2. Método Half-open – Vendo o problema do método connect(), surgiu à ideia de se fechar a conexão mandando um RST ao receber o pacote SYN+ACK, uma vez que já era possível somente com ele saber se a porta estava aberta ou não. E como somente no ultimo ACK estava a origem do atacante não seria possível identifica-lo.  Esse ataque foi considerado muito eficiente e por um momento indetectável. Porém os sistemas foram se aprimorando e começaram a identificar a origem no SYN inicial da conexão e não mais no ACK final. Tornando esse ataque facilmente identificável.

Começaram então a aparecer métodos obscuros de ataque, que são considerados mais efetivos. São eles:

  1. Fin Scan – Baseados mais uma vez na RFC do TCP, que diz que toda porta fechada deve responder com a flag RST ao receber um pacote com a flag FIN ativada e as portas abertas simplesmente ignoram o pacote com a flag. Sendo assim, ao invés de mandar um SYN, começaram a mandar um FIN que não continha a origem do atacante, aquelas portas que respondessem com um RST estavam fechadas, as que não respondessem nada estavam provavelmente abertas. A desvantagem dessa técnica e que não possibilita a identificação de algum tipo de filtragem por um firewall. Além disso, a Microsoft não segue as recomendações da RFC e responde com RST em todas as portas.
  2. Null Scan – Bem similar ao Fin scan, Assim como quando enviamos a flag FIN, ao enviar a flag NULL (onde desligamos todas as flags do pacote) as portas fechadas devem responder com a flag RST e as portas abertas simplesmente os ignoram.  Porem os mesmos problemas do Fin scan também são aplicados aqui. Outro problema e que se o scan não identificar que a maquina esta “unreachable” ou tem algum tipo de filtragem ele pode entender que a porta que não responda esta aberta, retornando uma informação que não e correta.
  3. Decoy Scan – Este é o método mais completo, pois envolve uma junção com uma da técnicas anteriores (menos a connect), tornando o ataque mais poderoso e trazendo informações possivelmente mais relevantes. Ele disfarça a origem real do ataque, enviado diversas origens como se fossem vários computadores fazendo o port scan ao mesmo tempo, sendo que somente alguns dos pacotes foram enviados pelo ip real do atacante confundindo o computador.

Casso o atacante tenha sucesso em qualquer um dos tipos de ataque ele já terá algumas das informações necessárias, como portas abertas e serviços utilizados, para começar a explorar um ataque mais complexo ao seu computador.

Davi Sabino Barros

*Todo conteúdo pode e deve ser copiado, desde que mantidos o autor e o endereço original.

Lomadee, uma nova espécie na web. A maior plataforma de afiliados da América Latina.

, , , , , , , , , , , , , , ,

Comentários

  1. David disse:

    Cara, gostei do artigo, foi bem informativo, parabéns!