What is a Port Scan?

Uma varredura de porta é uma técnica de reconhecimento de rede projetada para identificar quais portas estão abertas em um computador. Isso pode permitir que o scanner identifique o aplicativo em execução no sistema à medida que determinados programas escutam em portas específicas e reagem ao tráfego de determinadas maneiras. Por exemplo, HTTP usa a porta 80, DNS usa a porta 53 e SSH usa a porta 22.

Solicite uma demo Download Report

What is a Port Scan?

A necessidade de varredura de porta

Os endereços IP são vitais para rotear o tráfego em uma rede. Um endereço IP identifica exclusivamente o dispositivo para onde um pacote deve ser roteado. Porém, saber que um determinado computador deve receber um pacote não é suficiente para que ele chegue ao seu destino. Um computador pode executar vários aplicativos diferentes ao mesmo tempo e vários podem enviar e receber tráfego pela rede simultaneamente.

Os protocolos TCP e UDP definem o conceito de portas em um computador. Um aplicativo pode enviar tráfego e escutar em uma porta específica. A combinação de um endereço IP e uma porta permite rotear o dispositivo e o endpoint para garantir que o tráfego chegue ao aplicativo pretendido.

Como funciona um scanner de porta?

Um scanner de porta, como o nmap, funciona enviando tráfego para uma porta específica e examinando os resultados. Se uma porta estiver aberta, fechada ou filtrada por um segurança de rede solução, ele responderá de diferentes maneiras a uma varredura de porta, incluindo:

  • Abrir: Uma porta aberta onde um aplicativo está escutando o tráfego deve responder a uma solicitação legítima. Por exemplo, uma porta aberta que recebe um pacote TCP SYN deve responder com um SYN/ACK.
  • Fechado: Se uma porta estiver fechada, as tentativas de comunicação com ela serão consideradas um erro pelo computador. Um pacote TCP SYN para uma porta fechada deve resultar em um pacote RST (reset).
  • Filtrado: Algumas portas podem ser filtradas por um firewall ou Sistema de prevenção de intrusão (IPS). Os pacotes enviados para essas portas provavelmente não receberão resposta.

Computadores diferentes responderão a pacotes diferentes de maneiras diferentes. Além disso, alguns tipos de varredura de portas são mais óbvios que outros. Por esse motivo, um scanner de porta pode usar uma variedade de técnicas de varredura. 

Alguns dos tipos mais comuns de varredura de portas incluem:

  • Verificação de ping: O tipo mais simples de varredura, uma varredura de ping, envia uma solicitação de ping a um computador e procura uma resposta de ping. Essa verificação pode determinar se um computador está online e acessível.
  • Varredura SYN: Um pacote SYN é o primeiro passo no handshake TCP, e as portas abertas responderão com um SYN-ACK. Em uma varredura semiaberta SYN ou TCP, o scanner de porta não completa o handshake com o ACK final, portanto a conexão TCP completa não é aberta.
  • Verificação de conexão TCP: Uma varredura de conexão TCP conclui o handshake TCP completo. Assim que a conexão for estabelecida, o scanner a desmontará normalmente.
  • Verificação UDP: As varreduras UDP verificam as portas que escutam o tráfego UDP. Eles podem identificar DNS e outros serviços baseados em UDP.
  • Varreduras de NATAL e FIN: As varreduras XMAS e FIN quebram o padrão TCP por pacotes com combinações inválidas de sinalizadores. Diferentes sistemas reagem a esses pacotes de maneiras diferentes, portanto essas varreduras podem revelar detalhes do sistema alvo e se ele está protegido por um firewall.
  • Verificação de rejeição de FTP: O protocolo FTP permite conexões FTP proxy onde um servidor fará conexões FTP com outro servidor em nome de um cliente. Uma varredura de rejeição de FTP usa essa funcionalidade para executar indiretamente uma varredura de porta.

Uma varredura de porta pode fornecer muitas informações sobre um sistema de destino. Além de identificar se um sistema está on-line e quais portas estão abertas, os scanners de portas também podem identificar o aplicativo que escuta portas específicas e o sistema operacional do host. Essas informações adicionais podem ser obtidas a partir de diferenças na forma como um sistema responde a determinados tipos de solicitações.

Como os cibercriminosos usam a verificação de portas como método de ataque?

A varredura de portas é uma etapa comum durante a fase de reconhecimento de um cyberattack. Uma varredura de porta fornece informações valiosas sobre um ambiente de destino, incluindo os computadores que estão online, o aplicativo que está sendo executado neles e, potencialmente, detalhes sobre o sistema em questão e quaisquer defesas que ele possa ter (firewall, etc.).

Esta informação pode ser útil ao planejar um ataque. Por exemplo, saber que uma organização está executando um determinado servidor web ou DNS pode permitir que o invasor identifique uma vulnerabilidade potencialmente explorável nesse software.

Evite ataques de varredura de porta com Check Point

Muitas das técnicas utilizadas pelos scanners de portas são detectáveis no tráfego de rede. O tráfego para muitas portas, algumas das quais estão fechadas, é anômalo e pode ser detectado por uma solução de segurança de rede como um IPS. Além disso, um firewall pode filtrar portas não utilizadas ou implementar listas de controle de acesso que limitam as informações fornecidas a um scanner de porta.

Check Point’s Quantum IPS fornece proteção contra varredura de portas e outras ameaças cibernéticas. Para saber mais sobre as outras ameaças que o Quantum IPS pode gerenciar, confira o site da Check Point Relatório de cibersegurança 2023. Você também é bem-vindo inscreva-se para uma demogratuita para ver você mesmo os recursos do Quantum IPS.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK