Perché gli hacker cercano le porte aperte?

18

Quindi, ogni volta che senti parlare di piccoli hacker che hackerano siti web , senti parlare di "port scanning". Capisco di cosa si tratta (cercando tutte le porte aperte / servizi su una macchina remota), tuttavia questo solleva la domanda:

Perché un utente malintenzionato vuole sapere quali porte sono aperte?

L'unica ragione per cui vedo questo è la ricerca di servizi che potrebbe o potrebbero non avere il nome utente e la password predefiniti OPPURE una vulnerabilità o qualcosa.

Ma visto che le probabilità per questo sono piuttosto basse, perché gli hacker eseguono scansioni di porte? È puramente per la ragione sopra?

    
posta Joseph A. 17.04.2016 - 01:41
fonte

6 risposte

51
  • Per eseguire un exploit, un utente malintenzionato ha bisogno di una vulnerabilità.
  • Per trovare una vulnerabilità, l'utente malintenzionato deve rilevare con impronta digitale tutti i servizi eseguiti sulla macchina (individuare il protocollo che utilizzano, i programmi che li implementano e preferibilmente le versioni di tali programmi).
  • Per impronte digitali di un servizio, l'utente malintenzionato deve sapere che ce n'è uno in esecuzione su una porta accessibile pubblicamente.
  • Per scoprire quali porte accessibili pubblicamente eseguono servizi, l'utente malintenzionato deve eseguire una scansione delle porte.

Come vedi, una scansione delle porte è il primo passo di ricognizione che un attaccante esegue prima di attaccare un sistema.

    
risposta data 17.04.2016 - 02:04
fonte
6

Considera che voglio derubare la tua casa ... Quindi vorrei cercare un modo per entrare. Ma la tua casa ha delle serrature che consentono solo al tuo locale (famiglia) di accedervi, quindi cercherò altre finestre di modo (porte) (altre porte pubbliche aperte) per entrare. E cerca di ottenere alcuni dati. Se le porte saranno aperte per ssh / ftp, tenteranno di sfruttarle. Prova a caricare file o bruteforce.

    
risposta data 17.04.2016 - 15:56
fonte
2

Come fa notare Girish, un port scan è come un casing di una casa. È un'attività a basso rumore quando viene eseguita da Internet, perché vedrai decine di scansioni portuali al giorno. Inoltre, fornisce una piccola quantità di informazioni sullo stato della macchina e consente di personalizzare ulteriormente il livello successivo dell'attacco.

È anche sporco a buon mercato! Fare una scansione porta costa quasi nulla all'attaccante, e qualche volta sei fortunato. In The Art of Intrusion , Kevin Mitnick fornisce esempi di dove tali attacchi ottengono risultati nella vita reale. In un sistema semplice, è facile bloccare semplicemente tutte le porte. In una rete IT più complicata, è più difficile dimostrare che non vi sono ragioni logiche di business per una porta aperta, e la prima regola dell'IT è "non turbare il business", in modo che possano essere lasciati aperti. Il libro di Mitnick ha fornito l'esempio di un caso in cui c'era una connessione seriale truccata dalla giuria esposta accidentalmente a Internet. L'attaccante presume che sia stato un solo colpo di clandestinità a risolvere un problema che non è mai stato smantellato dopo che il suo uso non era più necessario. Anni dopo, era in realtà il vettore di attacco trovato e sfruttato dagli hacker.

Ci sono situazioni in cui le scansioni delle porte sono evitate. Le minacce persistenti avanzate (APT) tendono ad operare sulla LAN. Mentre le scansioni dei port da internet sono un affare quotidiano, le scansioni delle porte originate nella LAN sono molto più "forti". Dato che gli APT danno valore alla furtività, spesso evitano scansioni delle porte che, in altre circostanze, potrebbero essere solo colpi casuali fatti per vedere se si è fortunati.

    
risposta data 18.04.2016 - 04:53
fonte
2

Hai mai provato a eseguire comunicazioni di rete con una roccia? Che ne dici di un router di rete che non ha elettricità? È piuttosto noioso, perché non ottieni risposta.

Quindi gli aggressori cercano di utilizzare i più comuni protocolli di rete, come TCP e UDP, che usano numeri chiamati "numeri di porta" o "porte". ( SCTP usa anche le porte .)

Se una porta è chiusa, di solito c'è uno di due risultati: una risposta che indica "Connessione rifiutata" o nessuna risposta di sorta. Bene, entrambi questi risultati sono molto meno interessanti di una porta "aperta", il che significa semplicemente che l'autore dell'attacco può ottenere un altro tipo di risposta quando prova ad interagire con il dispositivo di destinazione.

La scansione delle porte può riferirsi alla scansione dell'intero intervallo di numeri di porta (da 0 a 65535), o semplicemente alla scansione da un elenco di porte probabili (ad es. 80, 443, 25, 22) per vedere quali indirizzi IP rispondono. Gli indirizzi IP che rispondono a un numero di porta sono probabilmente obiettivi per gli hacker che concentrano ulteriori sforzi per interagire con, in particolare se il numero di porta che risponde è il numero di uno standard comunemente utilizzato (ad esempio, la porta TCP 80 è la porta più comune per HTTP) .

(Anche se le persone possono usare una porta per uno scopo diverso da quello standard, è piuttosto raro da fare, soprattutto perché un sacco di software non gestisce numeri di porta alternativi come facilmente.Ad esempio, lo standard per i browser web è necessario aggiungere due punti e il numero di porta, se viene utilizzata una porta non standard, utilizzando i numeri di porta standard può eliminare la necessità per le persone di digitare tali informazioni.)

Anche la scansione di una porta presenta vantaggi rispetto al tentativo di eseguire interazioni più elaborate, come molti attacchi di rete. Il tempo e la larghezza di banda richiesti sono molto più bassi, quindi la scansione può essere eseguita molto più rapidamente rispetto agli attacchi più elaborati.

    
risposta data 18.04.2016 - 05:35
fonte
0

L'hacking ha una "fase di scoperta". Durante la fase di scoperta, scopri quante più informazioni possibili sul tuo obiettivo. La scansione delle porte è solo un aspetto della scoperta. La maggior parte dei software girano sulla loro porta predefinita e quindi sapere quali porte sono aperte ti dà alcune informazioni su cosa sta facendo funzionare la macchina. Se la porta 80 e 443 sono aperte, è probabile che si tratti di una qualche forma di server web. Poi scopri cosa sta funzionando il webserver e quale software sta funzionando il webserver. Una porta aperta significa che qualcosa sta ascoltando su quella porta e che puoi comunicare con qualsiasi cosa stia girando su quella porta che è una potenziale entrata per un hacker. Cercando nome utente & predefinito le combinazioni di password sono solo una parte dell'hacking. L'utilizzo di vulnerabilità nel software in esecuzione su Traget è un'altra parte e per scoprire quale software è in esecuzione la scansione delle porte è un buon primo passo. Se non sai quali porte sono aperte non sai a quali porte puoi inviare pacchetti maligni.

    
risposta data 11.11.2018 - 11:59
fonte
-1

Una volta che un'applicazione ha risposto su una porta specifica, l'applicazione potrebbe essere oggetto di exploit. Ad esempio, nmap impronte digitali e riporta il software e le applicazioni trovati in esecuzione su un server, a volte con informazioni sulla versione. Le versioni obsolete avranno vulnerabilità pubblicamente note, che software come metaspoit potrebbero scegliere come target.

Questo tizio lo spiega bene. Come un'analogia, una porta aperta è come una porta aperta. Una volta aperta una porta, il dispositivo in questione può essere utilizzato per indirizzare altri dispositivi nella stessa rete. Il documento collegato spiega come l'autore è entrato nella rete interna Hacking Team e ha fatto trapelare i propri dati.

    
risposta data 18.04.2016 - 09:10
fonte

Leggi altre domande sui tag