È possibile rilevare le scansioni delle porte su OSX a livello di kernel? Vorrei scrivere un kext che rileva gli indirizzi IP dei sistemi che scansionano le porte dei miei computer.
Come funziona esattamente una scansione invisibile? Il kernel non viene informato quando si accede a una porta dall'esterno?
Una scansione invisibile come viene comunemente chiamata è una connessione TCP semiaperta. Piuttosto che:
SYN - >
< - SYN / ACK
ACK - >
va
SYN - >
< - SYN / ACK
RST - >
Si parla di stealth solo perché molte applicazioni registrano una connessione sulla sua porta di ascolto. Poiché questa scansione non completa mai la connessione TCP, non viene creata alcuna voce di registro. Non è in alcun modo rilevabile. Lo stack di rete nel kernel continuerà a ricevere notifiche sulla connessione, ma solo l'applicazione in ascolto sulla porta non lo fa.
Sono disponibili ulteriori informazioni qui