What is a Port Scan?

La scansione delle porte è una tecnica di ricognizione della rete progettata per identificare quali porte sono aperte su un computer. Questo può consentire allo scanner di identificare l'applicazione in esecuzione sul sistema, poiché alcuni programmi ascoltano su porte particolari e reagiscono al traffico in determinati modi. Ad esempio, l'HTTP utilizza la porta 80, il DNS la porta 53 e l'SSH la porta 22.

Richiedi una Demo Download Report

What is a Port Scan?

La necessità di una scansione della porta

Gli indirizzi IP sono fondamentali per instradare il traffico su una rete. Un indirizzo IP identifica in modo univoco il dispositivo dove deve essere instradato un pacchetto. Tuttavia, sapere che un determinato computer deve ricevere un pacchetto non è sufficiente per farlo arrivare a destinazione. Un computer può eseguire molte applicazioni diverse allo stesso tempo, e diverse possono inviare e ricevere simultaneamente traffico sulla rete.

I protocolli TCP e UDP definiscono il concetto di porte su un computer. Un'applicazione può inviare traffico e ascoltare su una determinata porta. La combinazione di un indirizzo IP e di una porta consente al dispositivo di routing e all'endpoint di garantire che il traffico raggiunga l'applicazione prevista.

Come funziona un Port Scanner?

Uno scanner di porte, come nmap, funziona inviando il traffico a una determinata porta ed esaminando i risultati. Se una porta è aperta, chiusa o filtrata da un network security La soluzione risponderà in modi diversi a una scansione della porta, tra cui:

  • Aprire: Una porta aperta in cui un'applicazione è in ascolto per il traffico dovrebbe rispondere a una richiesta legittima. Ad esempio, una porta aperta che riceve un pacchetto TCP SYN deve rispondere con un SYN/ACK.
  • Chiuso: Se una porta è chiusa, i tentativi di comunicare con essa sono considerati un errore dal computer. Un pacchetto TCP SYN su una porta chiusa dovrebbe comportare un pacchetto RST (reset).
  • Filtrato: Alcune porte possono essere filtrate da un firewall o da un Intrusion Prevention System (IPS). I pacchetti inviati a queste porte probabilmente non riceveranno alcuna risposta.

Computer diversi risponderanno a pacchetti diversi in modi diversi. Inoltre, alcuni tipi di scansione delle porte sono più evidenti di altri. Per questo motivo, uno scanner di porte può utilizzare diverse tecniche di scansione. 

Alcuni dei tipi più comuni di scansione delle porte includono:

  • Ping Scan: Il tipo più semplice di scansione, la scansione ping invia una richiesta ping a un computer e cerca una risposta ping. Questa scansione può determinare se un computer è online e raggiungibile.
  • Scansione SYN: Un pacchetto SYN è il primo passo dell'handshake TCP e le porte aperte rispondono con un SYN-ACK. In una scansione SYN o TCP semiaperta, il port scanner non completa l'handshake con l'ACK finale, quindi la connessione TCP completa non viene aperta.
  • Scansione TCP Connect: Una scansione di connessione TCP completa l'handshake TCP completo. Una volta stabilita la connessione, lo scanner la interrompe normalmente.
  • Scansione UDP: Le scansioni UDP verificano le porte in ascolto per il traffico UDP. Questi possono identificare il DNS e altri servizi basati su UDP.
  • XMAS e FIN Scansioni: Le scansioni XMAS e FIN infrangono lo standard TCP mediante pacchetti con combinazioni di flag non valide. Sistemi diversi reagiscono a questi pacchetti in modo diverso, quindi queste scansioni possono rivelare i dettagli del sistema di destinazione e se è protetto da un firewall.
  • Scansione di rimbalzo FTP: Il protocollo FTP consente connessioni FTP proxy, in cui un server effettua connessioni FTP a un altro server per conto di un cliente. Una scansione di rimbalzo FTP utilizza questa funzionalità per eseguire indirettamente una scansione della porta.

Una scansione delle porte può fornire una grande quantità di informazioni su un sistema di destinazione. Oltre a identificare se un sistema è online e quali porte sono aperte, gli scanner di porte possono anche identificare l'applicazione in ascolto su determinate porte e il sistema operativo dell'host. Queste informazioni aggiuntive possono essere ricavate dalle differenze nel modo in cui un sistema risponde a determinati tipi di richieste.

In che modo i criminali informatici utilizzano la scansione delle porte come metodo di attacco?

La scansione delle porte è un'operazione comune durante la fase di ricognizione di una cyberattack. Una scansione delle porte fornisce informazioni preziose su un ambiente target, compresi i computer che sono online, le applicazioni in esecuzione su di essi e potenzialmente dettagli sul sistema in questione e sulle difese che può avere (firewall, ecc.).

Queste informazioni possono essere utili per pianificare un attacco. Ad esempio, sapere che un'organizzazione utilizza un determinato server web o DNS può consentire all'aggressore di identificare vulnerabilità potenzialmente sfruttabili in quel software.

Prevenire gli attacchi Port Scan con Check Point

Molte delle tecniche utilizzate dai port scanner sono rilevabili nel traffico di rete. Il traffico su molte porte, alcune delle quali sono chiuse, è anomalo e può essere rilevato da una soluzione di sicurezza di rete come un IPS. Inoltre, un firewall può filtrare le porte inutilizzate o implementare liste di controllo degli accessi che limitano le informazioni fornite a uno scanner di porte.

Check Point’s Quantum IPS offre protezione contro la scansione delle porte e altre minacce informatiche. Per saperne di più sulle altre minacce che Quantum IPS è in grado di gestire, consulti il sito Check Point Cyber Security Report 2023. È anche il benvenuto a Si registri per una demo gratuita per vedere di persona le capacità di Quantum IPS.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK