O que é Port Scanning ?

O que é Port Scanning ?  Port Scanning, ou varredura de portas, é um método para determinar quais portas em uma rede estão abertas e podem estar recebendo ou enviando dados. Também é um processo para enviar pacotes para portas específicas em um host e analisar respostas para identificar vulnerabilidades.

Essa verificação não pode ocorrer sem primeiro identificar uma lista de hosts ativos e mapear esses hosts para seus endereços IP. Essa atividade, chamada descoberta de host, começa fazendo uma varredura de rede.

O objetivo por trás da verificação de portas e redes é identificar a organização de endereços IP, hosts e portas para determinar adequadamente locais de servidores abertos ou vulneráveis ​​e diagnosticar níveis de segurança. A varredura de rede e porta pode revelar a presença de medidas de segurança como um firewall entre o servidor e o dispositivo do usuário.

Depois que uma varredura de rede completa é concluída e uma lista de hosts ativos é compilada, a varredura de portas pode ocorrer para identificar portas abertas em uma rede que podem permitir acesso não autorizado.

É importante observar que a varredura de rede e porta pode ser usada por administradores de TI e criminosos cibernéticos para verificar ou verificar as políticas de segurança de uma rede e identificar vulnerabilidades – e no caso dos invasores, para explorar possíveis pontos de entrada fracos. Na verdade, o elemento de descoberta de host na varredura de rede geralmente é a primeira etapa usada pelos invasores antes de executarem um ataque.

Como ambas as varreduras continuam sendo usadas como ferramentas importantes para invasores, os resultados da varredura de rede e porta podem fornecer indicações importantes dos níveis de segurança da rede para os administradores de TI que tentam manter as redes protegidas contra ataques.

O que são portas e números de porta?

As portas de computador são o ponto de ancoragem central para o fluxo de informações de um programa ou da Internet para um dispositivo ou outro computador na rede e vice-versa. Pense nisso como o local de estacionamento para troca de dados por meio de mecanismos eletrônicos, de software ou relacionados à programação.

Os números de porta são usados ​​para consistência e programação. O número da porta combinado com um endereço IP formam as informações vitais mantidas por cada provedor de serviços de Internet para atender às solicitações. As portas variam de 0 a 65.536 e basicamente classificam por popularidade.

As portas de 0 a 1023 são números de porta bem conhecidos que são projetados para uso na Internet, embora também possam ter propósitos especializados. Eles são administrados pela Internet Assigned Numbers Authority (IANA). Essas portas são mantidas por empresas de primeira linha, como Apple QuickTime, MSN, serviços SQL e outras organizações proeminentes. Você pode reconhecer algumas das portas mais proeminentes e seus serviços atribuídos:

  • A porta 20 (UDP) contém o File Transfer Protocol (FTP) usado para transferência de dados
  • A porta 22 (TCP) contém o protocolo Secure Shell (SSH) para logins seguros, ftp e encaminhamento de porta
  • A porta 53 (UDP) é o Domain Name System (DNS) que traduz nomes em endereços IP
  • A porta 80 (TCP) é o HTTP da World Wide Web

Os números 1024 a 49151 são considerados “portas registradas”, o que significa que são registradas por empresas de software. As portas 49.151 a 65.536 são portas dinâmicas e privadas – e podem ser usadas por quase todos.

Quais são os protocolos usados ​​na varredura de portas?

Os protocolos gerais usados ​​para varredura de portas são TCP (protocolo de controle de transmissão) e UDP (protocolo de datagrama do usuário). Ambos são métodos de transmissão de dados para a internet, mas possuem mecanismos diferentes.

Enquanto o TCP é uma transmissão de dados baseada em conexão bidirecional confiável que depende do status do destino para concluir um envio bem-sucedido, o UDP não tem conexão e não é confiável. Os dados enviados através do protocolo UDP são entregues sem preocupação com o destino; portanto, não é garantido que os dados cheguem a fazê-lo.

Usando esses dois protocolos, existem várias técnicas diferentes para realizar varreduras de porta.

Quais são as diferentes técnicas de varredura de portas?

Existem várias técnicas para varredura de portas, dependendo do objetivo específico. É importante observar que os cibercriminosos também escolherão uma técnica de varredura de porta específica com base em seu objetivo ou estratégia de ataque.

Abaixo estão listadas algumas das técnicas e como elas funcionam:

  • Ping Scans: As varreduras de porta mais simples são chamadas de varreduras de ping. Em uma rede, um ping é usado para verificar se um pacote de dados de rede pode ou não ser distribuído para um endereço IP sem erros. As varreduras de ping são solicitações de protocolo de mensagem de controle da Internet (ICMP) e enviam uma explosão automatizada de várias solicitações de ICMP para diferentes servidores para atrair respostas. Os administradores de TI podem usar essa técnica para solucionar problemas ou desabilitar a verificação de ping usando um firewall — o que impossibilita que invasores encontrem a rede por meio de pings.
  • Half-open or SYN scans: Uma varredura semi-aberta, ou varredura SYN (abreviação de sincronizar), é uma tática que os invasores usam para determinar o status de uma porta sem estabelecer uma conexão completa. Essa varredura envia apenas uma mensagem SYN e não conclui a conexão, deixando o destino suspenso. É uma técnica rápida e sorrateira destinada a encontrar potenciais portas abertas nos dispositivos de destino.
  • XMAS scans: As verificações XMAS são ainda mais silenciosas e menos perceptíveis pelos firewalls. Por exemplo, os pacotes FIN geralmente são enviados do servidor ou cliente para encerrar uma conexão após estabelecer um handshake de 3 vias TCP e uma transferência bem-sucedida de dados e isso é indicado por uma mensagem “não há mais dados disponíveis do remetente”. Os pacotes FIN geralmente passam despercebidos pelos firewalls porque os pacotes SYN estão sendo procurados principalmente. Por esse motivo, as varreduras de XMAS enviam pacotes com todos os sinalizadores — incluindo FIN — esperando nenhuma resposta, o que significaria que a porta está aberta. Se a porta estiver fechada, uma resposta RST será recebida. A varredura XMAS raramente aparece nos logs de monitoramento e é simplesmente uma maneira mais discreta de aprender sobre a proteção e o firewall de uma rede.

Que tipo de resultados de varredura de porta você pode obter da varredura de porta?

Os resultados da varredura de porta revelam o status da rede ou do servidor e podem ser descritos em uma das três categorias: aberta, fechada ou filtrada.

  • Portas abertas: As portas abertas indicam que o servidor ou rede de destino está aceitando ativamente conexões ou datagramas e respondeu com um pacote que indica que está escutando. Também indica que o serviço usado para a varredura (normalmente TCP ou UDP) também está em uso.
    Encontrar portas abertas normalmente é o objetivo geral da varredura de portas e uma vitória para um cibercriminoso que procura uma via de ataque. O desafio para os administradores de TI é tentar bloquear as portas abertas instalando firewalls para protegê-las sem limitar o acesso de usuários legítimos.
  • Portas fechadas: Portas fechadas indicam que o servidor ou rede recebeu a solicitação, mas não há serviço “escutando” naquela porta. Uma porta fechada ainda está acessível e pode ser útil para mostrar que um host está em um endereço IP. Os administradores de TI ainda devem monitorar as portas fechadas, pois elas podem mudar para um status aberto e potencialmente criar vulnerabilidades. Os administradores de TI devem considerar o bloqueio de portas fechadas com um firewall, onde elas se tornariam portas “filtradas”.
  • Portas filtradas: As portas filtradas indicam que um pacote de solicitação foi enviado, mas o host não respondeu e não está ouvindo. Isso geralmente significa que um pacote de solicitação foi filtrado e/ou bloqueado por um firewall. Se os pacotes não chegarem ao local de destino, os invasores não poderão descobrir mais informações. As portas filtradas geralmente respondem com mensagens de erro como “destino inacessível” ou “comunicação proibida”.

Como os cibercriminosos podem usar a varredura de portas como método de ataque?

De acordo com o SANS Institute, a varredura de portas é uma das táticas mais populares usadas pelos invasores ao procurar um servidor vulnerável para violação.

Esses cibercriminosos costumam usar a varredura de portas como uma etapa preliminar ao atacar as redes. Eles usam a varredura de portas para definir os níveis de segurança de várias organizações e determinar quem tem um firewall forte e quem pode ter um servidor ou rede vulnerável. Várias técnicas de protocolo TCP possibilitam que os invasores ocultem sua localização de rede e usem “tráfego chamariz” para realizar varreduras de porta sem revelar nenhum endereço de rede ao alvo.

Os invasores investigam redes e sistemas para ver como cada porta reagirá — seja aberta, fechada ou filtrada.

Por exemplo, respostas abertas e fechadas alertarão os hackers de que sua rede está, de fato, na extremidade receptora da varredura. Esses cibercriminosos podem determinar o tipo de sistema operacional e o nível de segurança de sua operação.

Como a varredura de portas é uma técnica mais antiga, ela requer alterações de segurança e inteligência de ameaças atualizada, pois os protocolos e as ferramentas de segurança estão evoluindo diariamente. Como uma abordagem de prática recomendada, alertas de varredura de porta e firewalls devem ser usados ​​para monitorar o tráfego para suas portas e garantir que invasores mal-intencionados não detectem oportunidades potenciais de entrada não autorizada em sua rede.

Fonte: Kaspersky & Avast 

Veja também:

 

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!