Port Scanning - Definizione degli Stati

Naviga le tue risposte
7

Attualmente sto leggendo il libro "NMAP Network Scanning" di Gordon Fyodor Lyon. Nella pagina 77 c'è una descrizione su come NMAP classifica le porte in base alle risposte dell'host (o meno).

Ciò che mi aiuterebbe a capirli meglio è una chiara associazione alle bandiere restituite dall'host. Pertanto ho creato la lista qui sotto e apprezzerei averla raddoppiata controllata da voi ragazzi: 

 State             Response

 Open              SYN/ACK (SYN probe)
 Closed            RST (SYN probe)
 Filtered          No Answer or ICMP Type 3 and 13 (SYN probe)
 Unfiltered        No Answer or ICMP Type 3 and 13 (ACK probe)
 Open/Filtered     No Answer (UDP, FIN, NULL, XMAS probes)
 Closed/Filtered   No Answer or RST (Idle Scan)
    
posta 29.07.2015 - 15:44
fonte

1 risposta

8

  1. Apri:

    • L'utente malintenzionato invia un probe SYN alla porta che desidera testare
    • La porta restituisce un pacchetto con i flag SYN e ACK

  2. Chiuso:

    • L'utente malintenzionato invia un probe SYN alla porta che desidera testare
    • La porta rimanda direttamente il pacchetto RST / ACK

  3. filtrata:

    • L'utente malintenzionato invia un probe SYN alla porta che desidera testare
    • Due scenari:
      • La porta risponde con i messaggi di errore ICMP come il codice di tipo 3 13 (destinazione non raggiungibile: comunicazione amministrata vietata)
      • Uno scenario più frustrante per l'aggressore: la sonda SYN viene eliminata (nessuna risposta)
  4. non filtrato:
    • L'utente malintenzionato invia un probe ACK alla porta che desidera testare
    • La porta risponde con il pacchetto RST
  5. Apri / filtrata:
    • L'attaccante invia un probe UDP, IP, FIN, NULL o Xmas alla porta che vuole testare
    • Nessuna risposta è stata ricevuta
  6. Chiusura / filtrata:
    • L'autore dell'attacco esegue una scansione inattiva ( -sI )
    • La macchina zombie riceve il pacchetto RST, o nulla dalla macchina target (questo significa che l'attaccante riceverà IPID=1 da lo zombi)
risposta data 07.10.2015 - 19:04
fonte

Leggi altre domande sui tag

Quali sono i modi in cui posso analizzare il malware in una macchina infetta, non solo pulirlo? Why Antiviruses non controlla i moduli della libreria di exe per rilevare hook?