Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.

Сканирование портов

В результате сканирования портов злоумышленник получает сведения о запущенных на узле приложениях, что позволяет ему в дальнейшем спланировать конкретные сетевые атаки, нарушающие Д, К, Ц нескольких служб или узла в целом.

ТСР: установка соединения SYN→SYN, ACK →ACK

UDP: нет установки соединения

Методы сканирования:

1) synstealth – на каждый порт отправляется пакет ТСР с флагом SYN. Если порт открыт возвращается SYN ACK, если закрыт, то RST. 3-й шаг установления соединения не осуществляется;

2) connect – то же самое, только 3-й шаг есть;

3) UDP-scan – сканирование – если в ответ на посланный пакет не пришло ответа, то порт открыт, если ошибка, то порт закрыт;

4) NULL-Scan – отсылается пакет, заведомо неправильный с несуществующими (обнуленными) флагами, в ответ на такой пакет запущенная служба может сработать неадекватно и вернуть какое-то сообщение об ошибке, что позволит сделать вывод о запуске на порте слудбы;

5) XMAS-Scan – пакет ТСР, флаги устанавливаются в разном порядке (главное чтобы не было существующих комбинаций). Результат сканирования, как в предыдущем методе.

6) Fin-Scan – часто пакетный фильтр, защищающий порты, не допускает прохождение пакетов с флагом SYN, а с FIN успешно проходят до порта, и если в ответ на данный пакет придет АСК, то порт открыт.