Port Scanner

Uno scanner di porte è uno strumento per mappare le porte TCP e UDP. In questo test identifica lo stato delle porte, siano esse chiuse, in ascolto o aperte. È possibile specificare l’intervallo di porte che l’applicazione analizzerà, ad esempio: da 25 a 80. In genere, i port scanner vengono utilizzati da persone malintenzionate per identificare le porte aperte e pianificare le intrusioni. Può essere utilizzato anche dalle società di sicurezza per l’analisi della vulnerabilità (pen test). Uno dei port scanner più popolari è nmap.

Scansioni di porte legittime

I port scanner sono strumenti importanti per gli amministratori di sistema e i consulenti per la sicurezza dei computer perché queste scansioni forniscono un quadro oggettivo della sicurezza delle reti e dei singoli computer. Di conseguenza, ci sono diverse aziende e organizzazioni che forniscono scanner di reti e porte o offrono scansioni come servizio sul Web. Anche i provider di servizi online, come i provider IRC, utilizzano le scansioni delle porte per determinare se i client utilizzano proxy aperti.

Scansioni portuali illegali

Dal momento che il port scanner scuote efficacemente le porte sul retro per vedere se una porta è aperta da qualche parte, l’uso di questo software in alcuni casi può anche essere visto come un atto preparatorio punibile. Tuttavia, ciò si applica solo se sussiste anche un atto punibile come l’intrusione informatica (art. 138 bis, comma 1, cp; art. 144 bis, comma 1, cp BES), perché il port scan stesso non è punibile.

Tuttavia, molte scansioni delle porte non provengono direttamente da soggetti malintenzionati, ma da worm e virus presenti sui computer infetti, che in questo modo cercano di identificare i bersagli per le infezioni. In quest’ultima forma, di solito vengono scansionate solo porte specifiche.

Scansione TCP

In una scansione TCP, i servizi del sistema operativo vengono utilizzati per tentare di stabilire una connessione con un altro computer. Quando viene stabilita la connessione (dopo una stretta di mano a tre vie), lo scanner si disconnette. Il vantaggio è che l’operatore non ha bisogno di avere privilegi di sistema e il software utilizzato è molto semplice. Tuttavia, l’uso delle routine del sistema operativo impedisce all’utente di manipolare i pacchetti TCP utilizzati.

Scansione SYN

Una scansione SYN, nota anche come scansione semi-aperta, utilizza pacchetti TCP specifici, spesso manipolati. Dopo che il target ha risposto con un ACK alla richiesta di aprire una connessione (con un pacchetto SYN), viene inviato un pacchetto RST (reset). Questo non completerà l’handshake a tre vie e non aprirà mai completamente la connessione. Da qui il nome.

Scansione ACK

Una scansione ACK è uno strumento abbastanza specifico che non verifica la disponibilità di una porta, ma il firewall sottostante. Questa forma di scansione si basa sul fatto che i firewall semplici riconoscono le connessioni in entrata dal pacchetto SYN e ignorano le connessioni già stabilite. Semplicemente omettendo il pacchetto SYN e fingendo che esiste già una connessione esistente, è possibile recuperare conclusioni sulle regole del relativo firewall. Tuttavia, questo funziona solo se il software firewall non è stateful, ovvero non conserva informazioni interne sullo stato delle connessioni. Tuttavia, il moderno software firewall è generalmente con stato, quindi questo metodo di scansione non è più molto utile.

Scansione TIN

Poiché molti firewall utilizzano il pacchetto SYN per rilevare le connessioni in entrata e bloccarle se necessario, è stata escogitata un’alternativa basata su un diverso trattamento del pacchetto FIN, che nell’uso normale annuncia la fine di una connessione TCP. Le porte chiuse rispondono a un FIN con un pacchetto RST, mentre le porte aperte ignorano il pacchetto. Tuttavia, questa tecnica non funziona con alcuni sistemi operativi che ignorano la differenza tra porte aperte e chiuse e inviano sempre un pacchetto RST (come diverse versioni di Microsoft Windows) e sistemi dotati di filtro dei pacchetti con stato, come Linux in grado di visualizzare pacchetto per pacchetto o fa parte di una connessione già esistente.

Rispondi