Alcune porte TCP non comuni sono scansionate meno di altre?

Naviga le tue risposte
19

  • Ignorare il 5-10% massimo dei numeri di porta per i servizi comuni che sono comunemente presi di mira da port scanner (porte 22-ssh, 23-telnet, 80-http, 139-smb / cifs, 443-https, 3389 -rdp, ecc.), il saldo dei numeri di porta viene scansionato in modo statisticamente casuale?

    In altre parole, per un IP casuale (ovvero l'IP di qualcuno che non è il bersaglio di un attacco diretto) ci sono porte o intervalli di porte che sono più o meno suscettibili di essere scansionate?

  • Esistono alcuni honeypot che tengono traccia delle statistiche sulle scansioni delle porte degli IP casuali?

posta Brian M. Hunt 29.07.2011 - 16:47
fonte

6 risposte

17

Sicuramente. Vedi link per un elenco di porte e le probabilità che siano aperte.

Nmap offre due opzioni relative a questo: 

--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>

Altri metodi includono le porte < 1024, elencato in un file / etc / services, ecc. "Per impostazione predefinita, Nmap analizza le più comuni 1000 porte per ciascun protocollo." Considero nmap come lo strumento predefinito, ma ovviamente ci sono altri che sono abbastanza comuni.

Direi che le porte ad alto numero (49152-65535 ... l'elenco non registrato) hanno meno probabilità di essere scansionate. Vedi anche link

In nessun caso posso immaginare oltre a generare statistiche sarebbe utile una scansione statisticamente casuale rispetto alla scansione del rapporto deterministico, e non ho mai sentito nulla di simile.

Per alcune statistiche dal lato del vaso di miele, ci sono documenti là fuori. Il link ne è un esempio.

    
risposta data 29.07.2011 - 17:12
fonte
16

Il modo in cui gli attaccanti fanno ricorso ai portscan è in primo luogo indirizzare quelli con exploit noti o una protezione solitamente debole.

L'elenco al link è un elenco tipico.

Certo, hai alcuni scanner che vanno per l'intera gamma di porte, ma dato che è molto meno efficace, questa lista sarà una buona indicazione delle porte più scansionate.

    
risposta data 29.07.2011 - 16:55
fonte
10

In aggiunta alla risposta di @RoryAlsop, il progetto NMAP mantiene un elenco di porte con la probabilità che sia trovato aperto qui ,

    
risposta data 29.07.2011 - 17:05
fonte
5

Il rapporto porto di DShield potrebbe contenere le informazioni che stai cercando. DShield raccoglie i registri del firewall dai volontari e quindi fornisce i dati riepilogati dai registri alla comunità.

    
risposta data 30.07.2011 - 00:18
fonte
2

are the balance of the port numbers scanned in a statistically random way?

No, se una scansione continua oltre la fase dei "servizi ben noti", allora sta semplicemente analizzando gli intervalli di porte specificati dall'utente. L'utente può specificare intervalli di porte "casuali" - "Controlliamo tra 10.000 - 12.000 e 27.000 - 29.000" - ma non è statisticamente casuale, sono un paio di blocchi arbitrari scelti dall'utente.

Il tipo di scansione che ti stai interrogando, una distribuzione statisticamente casuale di singole porte in tutto lo spazio, è matematicamente improbabile che sia meglio di una scansione brute force di tutte le porte, ed è probabile che sia peggiore nel tasso di successo ( anche se più veloce, ah ah). Per quanto a mia conoscenza ed esperienza, nessuno strumento implementa un'impostazione di "scansione casuale".

    
risposta data 29.07.2011 - 17:25
fonte
2

La sicurezza è spesso un gioco di gatto e topo. È probabile che alcune persone intelligenti mettano il loro servizio privato importante su una porta che viene scansionata raramente. Quindi alcuni scanner intelligenti che cercano di nascondere ciò che è nascosto alle persone intelligenti, potrebbero guardare preferenzialmente a porte che raramente vengono scansionate da altri.

    
risposta data 29.07.2011 - 21:52
fonte

Leggi altre domande sui tag

Autenticazione a 2 fattori: soluzione economicamente vantaggiosa per un avvio web [chiuso] Come può un attacco DoS essere usato come parte della fase "Gaining Access" di un hack?