הקדמה

סריקת פורטים, אחד הדברים הראשונים אשר בדרך כלל פורץ מבצע על מנת להתפרץ לתוך מערכת.
יש כמה דרכים לביצוע סריקת פורטים, במאמר זה אציג 4 מהן.
השאלה הנשאלת היא, מדוע צריך יותר משיטה אחת.
התשובה המתבקשת מחולקת לשתיים:
1)פיירוואלים-רוב הפיירוואלים בהגדרות ברירת המחדל שלהם לא יאפשרו כניסה של פאקטים אלו או אחרים.
2)IDSים- כלי לזיהוי התפרצויות למערכת, אשר בין השאר מזהה סריקות פורטים.

בעזרת השיטות שאציג פה נוכל למנוע מן הפיירוואל לסנן את הפאקטים, ומהIDS לתייג אותם כעוינים.

normal scanning

השיטה הזאתי די מוכרת לכולם אני מניח, היא ידועה גם בשם "סריקת וניל".
הרעיון זה לנסות להתחבר לפורט , אם ההתחברות הצליחה, סימן שהפורט פתוח.
אם היא נכשלה, הפורט סגור.
לא מי יודע מה מסובך.
ניתן לממש את השיטה הזו ברמה יותר גבוהה של שקעים, אין צורך לבצע שימוש בRAW SOCKETS.

half open scanning

מי שיש לו רקע בפרוטוקול הTCP/IP יודע(או אמור לדעת) איך מתבצע קשר בין מחשבים.
הקליאנט(הסורק) שולח פאקט עם דגל SYN, השרת(הנסרק) משיב לנו עם פאקט עם דגל SYN|ACK ואנחנו מחזירים לו עם פאקט עם דגל ACK.
הרעיון מאחורי השיטה הוא כזה:אנחנו שולחים פאקט עם דגל SYN, מחכים לתשובה, אם מוחזר פאקט עם דגל SYN|ACK אנחנו יודעים שהפורט פתוח, ומחזירים פאקט עם דגל RST.
אם מוחזר פאקט עם דגל RST, שמאתחל את ההתקשרות אנחנו יודעים שהפורט סגור.
הקונספט של השיטה הזו, הוא שמעולם לא התבצעה התחברות מלאה!
משמע, חלק מהIDSים לא יקטלגו את זה כסריקה.
כדאי לממש שיטה זו אנו זקוקים לידע בRAW SOCKETS.

stealth scanning

ראשית חשוב להבהיר השיטה הנ"ל לא תפעיל בכל מערכת הפעלה, חלק מהמערכות(בניהם windows), יגיבו בצורה לא שגרתית לפאקטים, לכן אין לשיטה זו כל אפקטביות כלפיהם.

סריקה זו מתחלקת לשני סוגים.

1)דגל הFIN- אנו שולחים פאקט עם דגל FIN,אם ההוסט אליו שלחנו את הפאקט ענה לנו עם דגל RST, הפורט סגור, אחרת
הפורט ככל הניראה פתוח.
2)דגלACK-כאשר אנחנו נשלח פאקט עם דגל ACK, במידה גודל החלון עולה על 0, או גודל הTTL, קטן משאר הTTL בפאקטים האחרים שהתקבלו, כניראה שהפורט "פתוח".