Durante la lettura dello strumento NScan, mi sono imbattuto nel metodo connect (). Questo articolo su NScan dice
NScan itself is a port scanner, which uses connect() method to find the list of the host's open ports.
Quindi
Che cos'è questo metodo connect ()? Questo metodo è utilizzato solo in NScan o anche in altri port scanner?
Una scansione connect () generalmente si riferisce a una scansione di rete che esegue un handshake a tre vie TCP completo (SYN, SYN / ACK, ACK) per determinare se una porta è aperta o meno. Una volta che questi tre pacchetti sono stati trasmessi dai rispettivi host, c'è una connessione aperta e pronta a passare il traffico. Lo scanner chiuderà quindi la connessione con un RST o FIN, oppure potrebbe semplicemente smettere di usarlo e alla fine il server eseguirà il timeout e recupererà le risorse.
Ci sono molte alternative, la più comune è una scansione SYN: lo scanner invia un SYN e attende un SYN / ACK. Se lo vede, conclude che la porta è aperta, anche se non ha aperto completamente una connessione . Lo scanner non invia un ACK per completare la connessione e lo stack TCP del server chiuderà la connessione nascente in risposta a un RST o dopo (molto più breve) timeout (rispetto a quelli usati per le connessioni aperte) .
Le scansioniconnect () sono generalmente più facili da rilevare, poiché le applicazioni spesso registrano connessioni completamente aperte e chiuse, specialmente quelle che si chiudono sul TCP invece che sul livello dell'applicazione (ad esempio, si lamenteranno che "IP abcd NON HA FATTO DIRE ADDIO"). Ciò rende più facile rilevare una scansione connect (). Inoltre, poiché le risorse del sistema operativo sono dedicate a connessioni completamente aperte, è possibile tassare le risorse su un host inchiodando un sacco di connessioni e quindi non utilizzandole - ad esempio, il metodo "timeout" è particolarmente maleducato.
La ragione per cui si può usare una scansione connect () (-sT in nmap) è che è più affidabile. Nulla dice "un host parlerà su questo porto" come ottenere l'host completamente pronto e disposto a parlare su quella porta. Alcune altre modalità di scansione potrebbero avere falsi positivi. Ci sono state volte in cui ho scansionato le singole porte che apparivano aperte alle scansioni SYN e non è stato in grado di verificare che la porta fosse aperta con le scansioni della modalità connect ().
(N.B. TUTTI le modalità di scansione possono avere falsi positivi. Come mi piace dire al mio terapista, "Non credere a tutto ciò che pensi.")
Leggi altre domande sui tag network-scanners