È possibile eseguire la scansione di contrassegni TCP inversa come scansione invisibile?

2

Come funziona esattamente la scansione con flag TCP inversa e possiamo eseguirla come scansione invisibile?

    
posta Lio Xu 22.01.2017 - 03:16
fonte

1 risposta

3

Il flag TCP inverso viene eseguito come segue.

Gli hacker inviano pacchetti di probe TCP con un flag TCP (FIN, URG, PSH) impostato o senza flag.

Quando la porta è aperta, l'utente malintenzionato non riceve alcuna risposta dall'host, mentre quando la porta viene chiusa riceve l'RST dall'host di destinazione.

Quando la porta è aperta

 Attacker--------- (FIN/URG/PSH/NULL) ------------------ >  Victim  
                       X < -------- No Response --------

Quando la porta è chiusa

Attacker--------- (FIN/URG/PSH/NULL) ------------------ >  Victim  
      < -------------- RST / ACK ----------------------

Meccanismi di sicurezza come firewall e IDS rilevano i pacchetti SYN inviati alle porte sensibili degli host mirati. Ma i pacchetti di probe abilitati con i flag TCP possono passare attraverso i filtri non rilevati, a seconda dei meccanismi di sicurezza installati. La tecnica inversa sta sondando un bersaglio usando un flag SYN semiaperto perché le porte chiuse possono solo inviare la risposta.

Vantaggi

  • Evita molti IDS e sistemi di registrazione, altamente invisibili

Svantaggi

  • Richiede l'accesso raw ai socket di rete, quindi richiede superutente privilegi

  • Molto efficace contro gli host che utilizzano uno stack TCP / IP derivato da BSD (not efficace contro gli host di Microsoft Windows, in particolare)

La scansione inversa del flag TCP è conosciuta come FIN, URG, PSH basata sul flag impostato nel pacchetto probe. Se non è impostato alcun flag, è noto come scansione nullo.

    
risposta data 22.01.2017 - 03:26
fonte

Leggi altre domande sui tag