Sto studiando la scansione delle porte. In che modo un utente malintenzionato può trarre vantaggio dalle informazioni sul controllo delle porte TCP o delle porte UDP?
In generale, i pacchetti inviati a una porta chiusa possono essere rifiutati o ignorati / eliminati. Pertanto, se una porta è chiusa, non sarà possibile stabilire una connessione o comunicare con il dispositivo attraverso quella porta. E se non puoi comunicare facilmente con il dispositivo, inutile dire che diventa molto più difficile (anche se non necessariamente impossibile) lanciare un attacco.
Con questo in mente, le scansioni delle porte sono un buon punto di partenza per un utente malintenzionato per alcuni motivi, come ad esempio:
Ti dicono quali porte accettano effettivamente il traffico, quindi non perdi tempo a provare gli exploit su porte chiuse. Questo è piuttosto semplice; di solito è molto più difficile lanciare un attacco su una porta chiusa che blocchi una seria vulnerabilità del sistema operativo o del firewall.
Possono suggerire quali servizi sono in esecuzione sul computer di destinazione. Esistono numeri di porta standard per vari protocolli: ad esempio, il traffico Web passa normalmente attraverso la porta 80, il traffico Web crittografato normalmente passa attraverso la porta 443, SSH graffic normalmente passa attraverso la porta 22 e il traffico FTP passa normalmente attraverso la porta 21. Quindi se si esegue portscan un server e si noti che solo le porte 80 e 22 sono aperte, quindi è possibile dedurre che la macchina sia probabilmente un server Web e un server SSH e iniziare provando attacchi indirizzati a HTTP e SSH.
Leggi altre domande sui tag tcp ports network-scanners udp