Ao ler este artigo, lembre -se das seguintes definições:
Pacote syn: é um pacote solicitando ou confirmando a sincronização de uma conexão.
Pacote ACK: é um pacote confirmando o recebimento de um pacote syn.
Pacote RST: é um pacote que informa a tentativa de conexão deve ser descartada.
Geralmente quando dois dispositivos se conectam, as conexões são estabelecidas através de um processo chamado Clique de mão de três vias que consiste em três interações iniciais: primeiro de uma solicitação de conexão pelo cliente ou dispositivo solicitando a conexão, segundo por uma confirmação pelo dispositivo ao qual a conexão é solicitada e em terceiro lugar uma confirmação final do dispositivo que solicitou a conexão, algo como:
-“Ei, você pode me ouvir?, podemos nos encontrar?” (Pacote Syn solicitando sincronização)
-"Oi!, eu te vejo!, podemos nos conhecer" (Onde "eu te vejo" é um pacote ACK, "podemos conhecer" um pacote Syn)
-"Ótimo!” (Pacote ACK)
Na comparação acima mostra como um Conexão TCP é estabelecido, o primeiro dispositivo pergunta ao segundo dispositivo se ele detecta a solicitação e, se pode estabelecer uma conexão, o segundo dispositivo confirma que pode detectá -lo e que está disponível para uma conexão, o primeiro dispositivo confirma reconhecer a aceitação.
Então a conexão é estabelecida, conforme explicado com gráficos em NMAP Tipos de varredura básica, Esse processo tem o problema do terceiro aperto de mão, a confirmação final, geralmente deixa um registro de conexão no dispositivo ao qual você solicitou a conexão, se estiver digitalizando um alvo sem permissão ou deseja testar um firewall ou sistema de detecção de intrusões (IDS) que você pode querer evitar a confirmação para evitar um log, incluindo seu endereço IP ou testar a capacidade do seu sistema de detectar a interação entre os sistemas, apesar da falta de uma conexão estabelecida, chamada Conexão TCP ou Connect Scan. Esta é uma varredura furtiva.
Isso pode ser alcançado substituindo o TCP Connection/Connect Scan para Conexão syn. Uma conexão syn omite a confirmação final, substituindo -a por um RST pacote. Se substituirmos a conexão TCP, a conexão de três handshake, para uma conexão syn, o exemplo seria:
-“Ei, você pode me ouvir?, podemos nos encontrar?” (Pacote Syn solicitando sincronização)
-"Oi!, eu te vejo!, podemos nos conhecer" (Onde "eu te vejo" é um pacote ACK, "podemos conhecer" um pacote Syn)
-"Desculpe, enviei um pedido a você por engano, esqueça" (Primeiro pacote)
O exemplo acima mostra uma conexão syn, que não estabelece uma conexão em contraste com uma conexão TCP ou Connect Scan, Portanto, não há logon no segundo dispositivo sobre uma conexão, nem seu endereço IP registrado.
Exemplos práticos de conexão TCP e SYN
NMAP não suporta Syn (-SS) Conexões sem privilégios, para enviar solicitações SYN, você deve ser root e, se você for, solicitações root são syn por padrão. No exemplo seguinte, você pode ver uma varredura detalhada regular contra o Linux.Lat como usuário regular:
NMAP -V Linux.Lat
Como você pode ver, diz “Iniciando uma varredura de conexão““.
No próximo exemplo, a varredura é realizada como raiz, portanto é uma varredura syn por padrão:
NMAP -V Linux.Lat
E como você pode ver, desta vez diz “Iniciando Syn Stealth Scan“, As conexões são descartadas após o Linux.A LAT enviou sua resposta ACK+SYN à solicitação SYN inicial do NMAP.
NMAP NULL SCAN (-SN)
Apesar de enviar um RST Pacotes que impedem a conexão, a GROM sendo registrada uma varredura syn pode ser detectada por firewalls e sistemas de detecção de intrusões (IDs). Existem técnicas adicionais para realizar mais varreduras furtivas com NMAP.
O NMAP funciona analisando as respostas dos pacotes do alvo, contrastando com as regras dos protocolos e interpretando -os. O NMAP permite forjar pacotes para gerar as respostas adequadas, revelando sua natureza, por exemplo, para saber se uma porta é realmente fechada ou filtrada por um firewall.
O exemplo a seguir mostra um NULO varredura que não inclui Syn, ACK ou RST pacotes.
Ao fazer um NULO Scan NMAP pode interpretar 3 resultados: Aberto | filtrado, Fechado ou Filtrado.
Aberto | filtrado: NMAP não pode determinar se a porta está aberta ou filtrada por um firewall.
Fechado: A porta está fechada.
Filtrado: A porta é filtrada.
Isso significa ao realizar um NULO Scan NMAP não sabe como distinguir das portas abertas e filtradas, dependendo da resposta do firewall ou da falta de resposta; portanto, se a porta estiver aberta, você obterá Aberto | filtrado.
No exemplo seguinte, a porta 80 do Linux.Lat é digitalizado com uma varredura nula, com verbosidade.
nmap -v -sn -p 80 linux.Lat
Onde:
NMAP = chama o programa
-v = instrui o nmap a digitalizar com verbosidade
-sn = instrui o nmap a executar uma varredura nula.
-p = prefixo para determinar a porta para digitalizar.
Linux.Lat = é o alvo.
Conforme mostrado no exemplo a seguir, você pode adicionar as opções -Sv Para descobrir se o porto retratado como aberto | filtrado está realmente aberto, mas adicionar essa bandeira pode resultar em uma detecção de varredura mais fácil pelo alvo, conforme explicado no livro do NMAP.
Onde:
NMAP = chama o programa
-v = instrui o nmap a digitalizar com verbosidade
-sn = instrui o nmap a executar uma varredura nula.
-Sv =
-p = prefixo para determinar a porta para digitalizar.
Linux.Lat = é o alvo.
Como você pode ver, na última captura de tela NMAP revela o estado real do porto, mas sacrificando a indeseção da varredura.
Espero que você tenha achado este artigo ser útil para se apresentar no NMAP Stealth Scan, continue seguindo Linuxhint.com mais dicas e atualizações sobre Linux e networking.
Artigos relacionados: