Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:mrezna_forenzika:skeniranje_portova [2020/01/09 00:01]
vraguz [3.3. Filtrirani portovi]
+++ racfor_wiki:mrezna_forenzika:skeniranje_portova [2024/12/05 12:24] (trenutno)
@@ Redak 3: / Redak 3: @@
-===== Sažetak =====
+=====   =====
-Skeniranje portova uključuje slanje i primanje paketa od/do ciljanog porta. Cyber napadači često koriste skeniranje portova kao preliminarni korak pri ciljanju mreža. Napadači ispituju mreže i sustave kako bi vidjeli kako će svaki port reagirati, tj. da li je on otvoren, zatvoren ili filtriran. Isto tako, skeniranje portova provode i organizacije kako bi ispitale i poboljšale razinu sigurnosti vlastitog sustava.\\
-Jednostavno skeniranje portova gdje softver traži podatke o svakom ulazu, jedan po jedan, lako je uočiti. Mrežni vatrozidi mogu se konfigurirati tako da otkriju i zaustave ovo ponašanje. Zato neke tehnike skeniranja portova djeluju drugačije. Na primjer, može se skenirati manji raspon portova ili čitav raspon portova u mnogo dužem razdoblju kako bi ga bilo teže otkriti.
-TCP connect() skeniranje uspostavlja vezu obavljanjem „full handshake-a“, tj šalje poruku SYN, te ako primi SYN-ACK, odgovara s ACK. Polu otvoreno skeniranje ili SYN stealth skeniranje šalje samo SYN (sinkronizacijsku) poruku i ne dovršava vezu, ostavljajući ciljano odredište bez odgovora. To je brza i lukava tehnika usmjerena na pronalaženje potencijalnih otvorenih portova na uređajima. Idle tehnika skeniranja koristi drugo računalo, tzv. zombi sustav, kako bi se skenirao ciljani port.
-Druge vrste skeniranja uključuju slanje neznanih, nepravilno oblikovanih vrsta paketa i čekaju da udaljeni sustav vrati RST paket koji zatvara vezu. Ako to uspije, skener zna da na tom mjestu postoji udaljeni sustav i da je na njemu zatvoren jedan određeni ulaz. Ako nije primljen nijedan paket, skener zaključuje da je port biti otvoren. Neke od takvih tehnika su FIN i Xmas skeniranje. Xmas skeniranje je dobilo svoje ime zbog skupa zastava koje su uključene u paketu. Ponekad FIN pakete (poruka koja znači da "pošiljatelj više nema dostupnih podataka") vatrozid ne primijeti jer uglavnom traži SYN pakete. Zato su Xmas skeniranja dizajnirana da manipuliraju PSH, URG i FIN zastavama TCP zaglavlja. Ovo je jednostavno lukaviji način da se sazna o zaštiti mreže i vatrozidu jer se ovo skeniranje rijetko pojavljuje u zapisnicima. Uz navedene učestale tehnike skeniranja, postoje i mnoge druge, poput Ping, IP Protocol i UDP skeniranja.
-Keywords: **port**; **skeniranje**; TCP; UDP; napadači
@@ Redak 81: / Redak 72: @@
 Postoji nekoliko različitih tehnika skeniranja portova koje pakete šalju na odredišta. U nastavku su objašnjene neke od učestalijih tehnika skeniranja portova, kao i njihove razlike.
-==== 4.1. TCP connect() ====
+==== 4.1. TCP ====
-Pri „TCP connect()“ skeniranju portova, skener pošalje SYN poruku, tj. zahtjev za vezom. Ako je port otvoren, udaljeni sustav odgovara SYN-ACK (potvrdnom) porukom. Alat za skeniranje tada odgovara vlastitom ACK (potvrdnom) porukom. To se naziva potpunim rukovanjem TCP veze, te tako skener zna da sustav prihvaća veze na zahtijevanom priključku ako se dogodi ovaj postupak. Na slici 4.1. je prikazana razmjena poruka između klijenta i servera prilikom „full handshake-a“.                                                                   {{https://accedian.com/wp-content/uploads/2018/09/standard_tcp_handshake.png?nolink&390x185}}
+Pri TCP  skeniranju portova, skener pošalje SYN poruku, tj. zahtjev za vezom. Ako je port otvoren, udaljeni sustav odgovara SYN-ACK (potvrdnom) porukom. Alat za skeniranje tada odgovara vlastitom ACK (potvrdnom) porukom. To se naziva potpunim rukovanjem TCP veze, te tako skener zna da sustav prihvaća veze na zahtijevanom priključku ako se dogodi ovaj postupak. Na slici 4.1. je prikazana razmjena poruka između klijenta i servera prilikom „full handshake-a“.
+{{https://accedian.com/wp-content/uploads/2018/09/standard_tcp_handshake.png?nolink&390x185}}
 Slika 4.1 Prikaz TCP "full handshake-a"
@@ Redak 93: / Redak 86: @@
 ==== 4.2. SYN stealth ====
-Neki skeneri izvode "TCP poluotvoreno" skeniranje. Umjesto da prođu kroz cijeli SYN, SYN-ACK, a potom i ACK ciklus, oni samo šalju SYN poruku i čekaju odgovor SYN-ACK ili RST. Ne treba poslati konačni ACK paket za dovršavanje veze, jer bi već SYN-ACK rekao skeneru sve što treba znati. Taj postupak je brži jer treba poslati manje paketa.
+Neki skeneri izvode TCP poluotvoreno skeniranje. Umjesto da prođu kroz cijeli SYN, SYN-ACK, a potom i ACK ciklus, oni samo šalju SYN poruku i čekaju odgovor SYN-ACK ili RST. Ne treba poslati konačni ACK paket za dovršavanje veze, jer bi već SYN-ACK rekao skeneru sve što treba znati. Taj postupak je brži jer treba poslati manje paketa.
 ==== 4.3. Idle ====
@@ Redak 99: / Redak 93: @@
 Idle je naziv za metodu skeniranja TCP priključaka koja se sastoji od slanja lažnih paketa na računalo kako bi se otkrilo koje su usluge dostupne. To se postiže lažnim predstavljanjem pomoću drugog računala zvanog "zombi" i promatranjem ponašanja "zombi" sustava.
-Napadač će ispitivati javnog domaćina (zombi) sa SYN | ACK (potvrda sinkronizacije) porukom i primiti RST (resetiranje veze) odgovor koji sadrži trenutni IPID (IP identifikacija). Napadač će zatim poslati paket zahtjeva za SYN (sinkronizaciju) ciljanom portu s izvornim IP javnoga domaćina (zombija). Ako je ciljani port otvoren, poslat će SYN | ACK paket javnom hostu. Javni domaćin će tada poslati RST paket do cilja i povećati IPID. Ako je port zatvoren, poslat će RST paket javnom domaćinu koji pokazuje da je port zatvoren. Napadač će zatim poslati drugi SYN | ACK paket javnom hostu i pogledati IPID broj kako bi utvrdio da li se dogodilo slanje RST paketa do cilja i povećao IPID.
+Napadač će ispitivati javnog domaćina (zombi) sa SYN | ACK (potvrda sinkronizacije) porukom i primiti RST (resetiranje veze) odgovor koji sadrži trenutni IPID. Napadač će zatim poslati paket zahtjeva za SYN (sinkronizaciju) ciljanom portu s izvornim IP javnoga domaćina (zombija). Ako je ciljani port otvoren, poslat će SYN | ACK paket javnom hostu. Javni domaćin će tada poslati RST paket do cilja i povećati IPID. Ako je port zatvoren, poslat će RST paket javnom domaćinu koji pokazuje da je port zatvoren. Napadač će zatim poslati drugi SYN | ACK paket javnom hostu i pogledati IPID broj kako bi utvrdio da li se dogodilo slanje RST paketa do cilja i povećao IPID.
-Nakon nekoliko stotina takvih lažnih zahtjeva za vezom, vaš IDS (Sustav za otkrivanje upada) shvatit će da nešto skenira mrežu, te će s vremenom blokirati javnog domaćina (zombija). No uljez je i dalje uspio preslikati mrežu.
+Nakon nekoliko stotina takvih lažnih zahtjeva za vezom, IDS (Sustav za otkrivanje upada) shvatit će da nešto skenira mrežu, te će s vremenom blokirati javnog domaćina (zombija). No uljez je i dalje uspio preslikati mrežu.
-Veći problem ovakvog tipa skeniranja je ako je javni domaćin koji se koristi za skeniranje vaše interne mreže jedan od pouzdanih strojeva koji se nalazi ispred vašeg vatrozida. Međutim, moguće je mrežu zaštititi od ove vrste skeniranja. Na slikama 4.2 i 4.3. su prikazane dvije razine idle skeniranja.\\
+Veći problem ovakvog tipa skeniranja je ako je javni domaćin koji se koristi za skeniranje vaše interne mreže jedan od pouzdanih strojeva koji se nalazi ispred vatrozida. Međutim, moguće je mrežu zaštititi od ove vrste skeniranja. Na slikama 4.2 i 4.3. su prikazane dvije razine Idle skeniranja, tj. opisani postupak navedene metode.\\
 {{https://upload.wikimedia.org/wikipedia/en/thumb/4/49/FirstStage_IdleScan.gif/390px-FirstStage_IdleScan.gif?nolink&390x328}}
 \\
-Slika 4.2 Prva razina idle skeniranja portova
+Slika 4.2 Prva razina Idle skeniranja portova
 {{https://upload.wikimedia.org/wikipedia/en/thumb/2/28/SecondStage_IdleScan.gif/390px-SecondStage_IdleScan.gif?nolink&390x328}}
-Slika 4.3 Druga razina idle skeniranja portova
+Slika 4.3 Druga razina Idle skeniranja portova
 ==== 4.4. FIN ====
-Napadač koristi TCP FIN skeniranje kako bi utvrdio jesu li portovi zatvoreni na ciljnom računalu. Ova vrsta skeniranja postiže se slanjem TCP segmenata s FIN bitom postavljenim u zaglavlju paketa. Očekivano ponašanje otvorenog porta je da se svaki neočekivani TCP segment poslan na otvoreni port odbacuje, dok oni koji se šalju u zatvorene portove trebaju dobiti poruku RST kao odgovor. Ovo ponašanje trebalo bi omogućiti napadaču da skenira portove slanjem određenih vrsta neočekivanih paketa (ili onemogućenih) i detektira zatvorene portove putem RST paketa. Uz svoju relativnu brzinu u usporedbi s drugim vrstama skeniranja, glavna prednost TCP FIN Scan je njegova sposobnost skeniranja kroz vatrozid bez stanja ili ACL filtara. Takvi su filteri konfigurirani da blokiraju pristup portovima obično sprječavanjem SYN paketa, čime se zaustavlja svaki pokušaj 'izgradnje' veze.
+Napadač koristi TCP FIN skeniranje kako bi utvrdio jesu li portovi zatvoreni na ciljnom računalu. Ova vrsta skeniranja postiže se slanjem TCP segmenata s FIN bitom postavljenim u zaglavlju paketa. Očekivano ponašanje (prema RFC 793) otvorenog porta je da se svaki neočekivani TCP segment poslan na otvoreni port odbacuje, dok oni koji se šalju u zatvorene portove trebaju dobiti poruku RST kao odgovor. Ovo ponašanje trebalo bi omogućiti napadaču da skenira portove slanjem određenih vrsta neočekivanih paketa i detektira zatvorene portove putem RST paketa. Uz svoju relativnu brzinu u usporedbi s drugim vrstama skeniranja, glavna prednost TCP FIN Scan je njegova sposobnost neprimjetnog skeniranja pri korištenju vatrozida ili ACL filtera. Takvi su filteri konfigurirani da blokiraju pristup portovima obično sprječavanjem SYN paketa, čime se zaustavlja svaki pokušaj izgradnje veze.
-FIN paketi često prolaze kroz takve uređaje neprimijećeno. Mnogi operativni sustavi, međutim, ne implementiraju RFC 793 točno i iz tog razloga. S takvim uređajima, FIN skeniranja ne funkcioniraju očekivano. Neki operativni sustavi, poput Microsoftovog Windows-a, šalju RST paket kao odgovor na bilo koji nepravilno oblikovani ili nesinkronizirani TCP segment (umjesto da ispuštaju paket preko RFC 793), na taj način sprečavajući napadača da razlikuje otvorene i zatvorene portove. FIN skeniranje je ograničeno rasponom platformi na kojima rade. Nadalje, s obzirom na to da se otvoreni portovi uspostavljaju bez odgovora, ne može se razlikovati otvoreni port od filtriranog priključka bez daljnje analize. FIN skeniranje je i dalje relativno prikriveno jer se paketi obično stapaju s pozadinskom bukom na mrežnoj vezi. FIN skeniranja se otkrivaju putem algoritama temeljenih na heurističkim metodama (bez potpisa), gotovo na isti način kako se detektiraju i druge vrste skeniranja.
+Mnogi operativni sustavi, međutim, ne implementiraju RFC 793 točno iz navedenog razloga. S takvim uređajima, FIN skeniranja ne funkcioniraju očekivano. Neki operativni sustavi, poput Microsoftovog Windows-a, šalju RST paket kao odgovor na bilo koji nepravilno oblikovani ili nesinkronizirani TCP segment (umjesto da ispuštaju paket preko RFC 793), na taj način sprečavajući napadača da razlikuje otvorene i zatvorene portove. FIN skeniranje je ograničeno rasponom platformi na kojima rade. Nadalje, s obzirom na to da se otvoreni portovi uspostavljaju bez odgovora, ne može se razlikovati otvoreni port od filtriranog priključka bez daljnje analize. FIN skeniranje je i dalje relativno prikriveno jer se paketi obično stapaju s pozadinskom bukom na mrežnoj vezi.
-==== 4.5. Xmas Tree ====
+==== 4.5. Xmas ====
 Xmas skenovi su još tiši i manje uočljivi. Zato se i njih, čak i uz ne-prijeteći naziv, treba tretirati s oprezom kao što bi i bilo koje drugo mrežno skeniranje. Ovo skeniranje koristi rupu TCP RFC-a za razlikovanje otvorenih i zatvorenih portova.
-„Očekivano ponašanje RFC 793 jest da se svaki TCP segment s postavljenom neočekivanom zastavicom poslan na otvoreni port odbacuje, dok segmenti s postavljenim neočekivanim zastavicama koji se šalju u zatvorene portove trebaju dobiti RST odgovore. Ovo ponašanje treba omogućiti napadaču skeniranje zatvorenih portova slanjem određenih vrsta paketa kršenjem pravila (iz ne-sinkroniziranih ili onemogućenih TCB - trusted computer base) i otkrivanje zatvorenih portova putem RST paketa "- CAPEC
+„Očekivano ponašanje RFC 793 jest da se svaki TCP segment s postavljenom neočekivanom zastavicom poslan na otvoreni port odbacuje, dok segmenti s postavljenim neočekivanim zastavicama koji se šalju u zatvorene portove trebaju dobiti RST odgovore. Ovo ponašanje treba omogućiti napadaču skeniranje zatvorenih portova slanjem određenih vrsta neočekivanih paketa i otkrivanje zatvorenih portova putem RST paketa "- CAPEC
 Drugim riječima, Xmas skeniranje će s ciljem prepoznavanja portova poslati određeni paket. Ako je port otvoren na ciljnom sustavu, paketi će se zanemariti. Ako je zatvoren, primit će se poruka RST. Xmas skeniranja bila su popularna ne samo zbog njihove brzine u usporedbi s drugim skeniranjima, već i zbog sličnosti s FIN i ACK paketima koji lako zaobilaze vatrozidove i ACL filtere. Međutim, oni naiđu na probleme s različitim operativnim sustavima koji nisu u skladu s RFC 793. Ovi sustavi će poslati RST odgovor kad bilo koji nepravilno oblikovani segment TCP bude primljen, umjesto da ga samo ispuste. Napadačev je rezultat u tom slučaju neuspješan. Na slici 4.4. je Wireshark prikaz postavljenih zastavica PSH, URG i FIN, tj onih koje su uključene pri obavljanju Xmas skenova.
-{{https://www.plixer.com/wp-content/uploads/2015/12/xmaswireshark.jpg?nolink&584x181}}
+{{https://www.plixer.com/wp-content/uploads/2015/12/xmaswireshark.jpg?nolink&584x181|www.plixer.com_wp-content_uploads_2015_12_xmaswireshark.jpg}}
 Slika 4.4. Wireshark prikaz postavljenih URG, PSH i FIN zastavica
@@ Redak 158: / Redak 153: @@
 Dakle, skeniranje portova je osnovni sigurnosni alat kada je u pitanju prodor i osiguranje računalnih sustava. Ali ono je samo alat koji omogućuje napadačima da pronađu portove koji mogu biti ranjivi. Ne daju napadaču pristup sustavu, pa tako sigurnosno konfiguriran sustav može izdržati potpuno skeniranje portova bez ikakve štete.
+=====   =====
 ===== 6. Literatura =====
-[1] [[https://capec.mitre.org/data/definitions/302.html|CAPEC-302: TCP FIN Scan, 2019.]]
+[1] All about port scanning, Defined, What it Does, How a Port Scan is Used, [Online]
-[2] [[https://smb.avast.com/answers/port-scanning-techniques-and-explanations|All about port scanning, Defined, What it Does, How a Port Scan is Used]]
+[[https://smb.avast.com/answers/port-scanning-techniques-and-explanations|https://smb.avast.com/answers/port-scanning-techniques-and-explanations]]
-[3] [[https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/|Defend your network from idle scanning, 2007.]]
+[2] HTG Explains: What is Port Scanning, [Online], 14.10.2018.
-[4] [[https://geekflare.com/port-scanner-tools/|8 Port Scanner Tools for Network Administrator, 2019]].
+[[https://www.howtogeek.com/369506/htg-explains-what-is-port-scanning/|https://www.howtogeek.com/369506/htg-explains-what-is-port-scanning/]]
-[5] [[https://www.plixer.com/blog/understanding-xmas-scans/|Understanding Xmas Scans, 2015.]]
+[3] Defend our network from idle scanning, [Online],13.9.2007.
-[6] [[https://en.wikipedia.org/wiki/Idle_scan|Idle Scan]]
+[[https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/|https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/]]
-[7] [[https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/|TCP Series #1: How to Diagnose TCP Connection Setup Issues?, 2017.]]
+[4] CAPEC-302: TCP FIN Scan, [Online], 30.9.2019.
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[[https://capec.mitre.org/data/definitions/302.html|https://capec.mitre.org/data/definitions/302.html]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[5] Understanding Xmas Scans, [Online], 23.12.2015.
+[[https://www.plixer.com/blog/understanding-xmas-scans/|https://www.plixer.com/blog/understanding-xmas-scans/]]
+[6] Idle scan, [Online], 8.8.2019.
+[[https://en.wikipedia.org/wiki/Idle_scan|https://en.wikipedia.org/wiki/Idle_scan]]
+[7] TCP Series #1: How to Diagnose TCP Connection Setup Issues?, [Online], 15.2.2017.
+[[https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/|https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/]]
+[8] 8 Port Scanner Tools for Network Administrator, [Online], 30.3.2019.
+[[https://geekflare.com/port-scanner-tools/|https://geekflare.com/port-scanner-tools/]]
+===== Sažetak =====
+Skeniranje portova uključuje slanje i primanje paketa od/do ciljanog porta. Cyber napadači često koriste skeniranje portova kao preliminarni korak pri ciljanju mreža. Napadači ispituju mreže i sustave kako bi vidjeli kako će svaki port reagirati, tj. da li je on otvoren, zatvoren ili filtriran. Isto tako, skeniranje portova provode i organizacije kako bi ispitale i poboljšale razinu sigurnosti vlastitog sustava.\\
+Jednostavno skeniranje portova gdje softver traži podatke o svakom ulazu, jedan po jedan, lako je uočiti. Mrežni vatrozidi mogu se konfigurirati tako da otkriju i zaustave ovo ponašanje. Zato neke tehnike skeniranja portova djeluju drugačije. Na primjer, može se skenirati manji raspon portova ili čitav raspon portova u mnogo dužem razdoblju kako bi ga bilo teže otkriti.
+TCP  skeniranje uspostavlja vezu obavljanjem „full handshake-a“, tj šalje poruku SYN, te ako primi SYN-ACK, odgovara s ACK. Polu otvoreno skeniranje ili SYN stealth skeniranje šalje samo SYN (sinkronizacijsku) poruku i ne dovršava vezu, ostavljajući ciljano odredište bez odgovora. To je brza i lukava tehnika usmjerena na pronalaženje potencijalnih otvorenih portova na uređajima. Idle tehnika skeniranja koristi drugo računalo, tzv. zombi sustav, kako bi se skenirao ciljani port.
+Druge vrste skeniranja uključuju slanje neznanih, nepravilno oblikovanih vrsta paketa i čekaju da udaljeni sustav vrati RST paket koji zatvara vezu. Ako to uspije, skener zna da na tom mjestu postoji udaljeni sustav i da je na njemu zatvoren jedan određeni ulaz. Ako nije primljen nijedan paket, skener zaključuje da je port biti otvoren. Neke od takvih tehnika su FIN i Xmas skeniranje. Xmas skeniranje je dobilo svoje ime zbog skupa zastava koje su uključene u paketu. Ponekad FIN pakete (poruka koja znači da "pošiljatelj više nema dostupnih podataka") vatrozid ne primijeti jer uglavnom traži SYN pakete. Zato su Xmas skeniranja dizajnirana da manipuliraju PSH, URG i FIN zastavama TCP zaglavlja. Ovo je jednostavno lukaviji način da se sazna o zaštiti mreže i vatrozidu jer se ovo skeniranje rijetko pojavljuje u zapisnicima. Uz navedene učestale tehnike skeniranja, postoje i mnoge druge, poput Ping, IP Protocol i UDP skeniranja.
+Keywords: **port**; **skeniranje**; TCP; UDP; napadači

racfor_wiki/mrezna_forenzika/skeniranje_portova.1578528080.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)