Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:mrezna_forenzika:skeniranje_portova [2020/01/09 10:50]
vraguz [4.5. Xmas Tree] 		racfor_wiki:mrezna_forenzika:skeniranje_portova [2024/12/05 12:24] (trenutno)
Redak 72: Redak 72:
 Postoji nekoliko različitih tehnika skeniranja portova koje pakete šalju na odredišta. U nastavku su objašnjene neke od učestalijih tehnika skeniranja portova, kao i njihove razlike. Postoji nekoliko različitih tehnika skeniranja portova koje pakete šalju na odredišta. U nastavku su objašnjene neke od učestalijih tehnika skeniranja portova, kao i njihove razlike.
  
-==== 4.1. TCP connect() ====+==== 4.1. TCP ====
  
-Pri TCP connect() skeniranju portova, skener pošalje SYN poruku, tj. zahtjev za vezom. Ako je port otvoren, udaljeni sustav odgovara SYN-ACK (potvrdnom) porukom. Alat za skeniranje tada odgovara vlastitom ACK (potvrdnom) porukom. To se naziva potpunim rukovanjem TCP veze, te tako skener zna da sustav prihvaća veze na zahtijevanom priključku ako se dogodi ovaj postupak. Na slici 4.1. je prikazana razmjena poruka između klijenta i servera prilikom „full handshake-a“.+Pri TCP  skeniranju portova, skener pošalje SYN poruku, tj. zahtjev za vezom. Ako je port otvoren, udaljeni sustav odgovara SYN-ACK (potvrdnom) porukom. Alat za skeniranje tada odgovara vlastitom ACK (potvrdnom) porukom. To se naziva potpunim rukovanjem TCP veze, te tako skener zna da sustav prihvaća veze na zahtijevanom priključku ako se dogodi ovaj postupak. Na slici 4.1. je prikazana razmjena poruka između klijenta i servera prilikom „full handshake-a“.
  
 {{https://accedian.com/wp-content/uploads/2018/09/standard_tcp_handshake.png?nolink&390x185}} {{https://accedian.com/wp-content/uploads/2018/09/standard_tcp_handshake.png?nolink&390x185}}
Redak 119: Redak 119:
 Xmas skenovi su još tiši i manje uočljivi. Zato se i njih, čak i uz ne-prijeteći naziv, treba tretirati s oprezom kao što bi i bilo koje drugo mrežno skeniranje. Ovo skeniranje koristi rupu TCP RFC-a za razlikovanje otvorenih i zatvorenih portova. Xmas skenovi su još tiši i manje uočljivi. Zato se i njih, čak i uz ne-prijeteći naziv, treba tretirati s oprezom kao što bi i bilo koje drugo mrežno skeniranje. Ovo skeniranje koristi rupu TCP RFC-a za razlikovanje otvorenih i zatvorenih portova.
  
-„Očekivano ponašanje RFC 793 jest da se svaki TCP segment s postavljenom neočekivanom zastavicom poslan na otvoreni port odbacuje, dok segmenti s postavljenim neočekivanim zastavicama koji se šalju u zatvorene portove trebaju dobiti RST odgovore. Ovo ponašanje treba omogućiti napadaču skeniranje zatvorenih portova slanjem određenih vrsta paketa kršenjem pravila (iz ne-sinkroniziranih ili onemogućenih TCB - trusted computer base) i otkrivanje zatvorenih portova putem RST paketa "- CAPEC+„Očekivano ponašanje RFC 793 jest da se svaki TCP segment s postavljenom neočekivanom zastavicom poslan na otvoreni port odbacuje, dok segmenti s postavljenim neočekivanim zastavicama koji se šalju u zatvorene portove trebaju dobiti RST odgovore. Ovo ponašanje treba omogućiti napadaču skeniranje zatvorenih portova slanjem određenih vrsta neočekivanih paketa i otkrivanje zatvorenih portova putem RST paketa "- CAPEC
  
 Drugim riječima, Xmas skeniranje će s ciljem prepoznavanja portova poslati određeni paket. Ako je port otvoren na ciljnom sustavu, paketi će se zanemariti. Ako je zatvoren, primit će se poruka RST. Xmas skeniranja bila su popularna ne samo zbog njihove brzine u usporedbi s drugim skeniranjima, već i zbog sličnosti s FIN i ACK paketima koji lako zaobilaze vatrozidove i ACL filtere. Međutim, oni naiđu na probleme s različitim operativnim sustavima koji nisu u skladu s RFC 793. Ovi sustavi će poslati RST odgovor kad bilo koji nepravilno oblikovani segment TCP bude primljen, umjesto da ga samo ispuste. Napadačev je rezultat u tom slučaju neuspješan. Na slici 4.4. je Wireshark prikaz postavljenih zastavica PSH, URG i FIN, tj onih koje su uključene pri obavljanju Xmas skenova. Drugim riječima, Xmas skeniranje će s ciljem prepoznavanja portova poslati određeni paket. Ako je port otvoren na ciljnom sustavu, paketi će se zanemariti. Ako je zatvoren, primit će se poruka RST. Xmas skeniranja bila su popularna ne samo zbog njihove brzine u usporedbi s drugim skeniranjima, već i zbog sličnosti s FIN i ACK paketima koji lako zaobilaze vatrozidove i ACL filtere. Međutim, oni naiđu na probleme s različitim operativnim sustavima koji nisu u skladu s RFC 793. Ovi sustavi će poslati RST odgovor kad bilo koji nepravilno oblikovani segment TCP bude primljen, umjesto da ga samo ispuste. Napadačev je rezultat u tom slučaju neuspješan. Na slici 4.4. je Wireshark prikaz postavljenih zastavica PSH, URG i FIN, tj onih koje su uključene pri obavljanju Xmas skenova.
Redak 159: Redak 159:
 ===== 6. Literatura ===== ===== 6. Literatura =====
  
-[1] [[https://capec.mitre.org/data/definitions/302.html|CAPEC-302: TCP FIN Scan, 2019.]]+[1] All about port scanning, Defined, What it Does, How a Port Scan is Used[Online]
  
-[2] [[https://smb.avast.com/answers/port-scanning-techniques-and-explanations|All about port scanning, Defined, What it Does, How a Port Scan is Used]]+[[https://smb.avast.com/answers/port-scanning-techniques-and-explanations|https://smb.avast.com/answers/port-scanning-techniques-and-explanations]]
  
-[3] [[https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/|Defend your network from idle scanning, 2007.]]+[2HTG Explains: What is Port Scanning, [Online], 14.10.2018.
  
-[4] [[https://geekflare.com/port-scanner-tools/|8 Port Scanner Tools for Network Administrator, 2019]].+[[https://www.howtogeek.com/369506/htg-explains-what-is-port-scanning/|https://www.howtogeek.com/369506/htg-explains-what-is-port-scanning/]]
  
-[5] [[https://www.plixer.com/blog/understanding-xmas-scans/|Understanding Xmas Scans, 2015.]]+[3Defend our network from idle scanning, [Online],13.9.2007.
  
-[6] [[https://en.wikipedia.org/wiki/Idle_scan|Idle Scan]]+[[https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/|https://www.techrepublic.com/blog/it-security/defend-your-network-from-idle-scanning-86384/]]
  
-[7[[https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/|TCP Series #1How to Diagnose TCP Connection Setup Issues?2017.]]+[4CAPEC-302: TCP FIN Scan[Online], 30.9.2019.
  
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|MayerRichard EThe Cambridge handbook of multimedia learningCambridge University Press2005.]]+[[https://capec.mitre.org/data/definitions/302.html|https://capec.mitre.org/data/definitions/302.html]] 
 + 
 +[5] Understanding Xmas Scans, [Online], 23.12.2015. 
 + 
 +[[https://www.plixer.com/blog/understanding-xmas-scans/|https://www.plixer.com/blog/understanding-xmas-scans/]] 
 + 
 +[6] Idle scan, [Online]8.8.2019. 
 + 
 +[[https://en.wikipedia.org/wiki/Idle_scan|https://en.wikipedia.org/wiki/Idle_scan]] 
 + 
 +[7] TCP Series #1: How to Diagnose TCP Connection Setup Issues?[Online], 15.2.2017. 
 + 
 +[[https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/|https://accedian.com/enterprises/blog/diagnose-tcp-connection-setup-issues/]] 
 + 
 +[8] 8 Port Scanner Tools for Network Administrator, [Online], 30.3.2019. 
 + 
 +[[https://geekflare.com/port-scanner-tools/|https://geekflare.com/port-scanner-tools/]]
  
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]] 
  
 ===== Sažetak ===== ===== Sažetak =====
Redak 182: Redak 197:
 Jednostavno skeniranje portova gdje softver traži podatke o svakom ulazu, jedan po jedan, lako je uočiti. Mrežni vatrozidi mogu se konfigurirati tako da otkriju i zaustave ovo ponašanje. Zato neke tehnike skeniranja portova djeluju drugačije. Na primjer, može se skenirati manji raspon portova ili čitav raspon portova u mnogo dužem razdoblju kako bi ga bilo teže otkriti. Jednostavno skeniranje portova gdje softver traži podatke o svakom ulazu, jedan po jedan, lako je uočiti. Mrežni vatrozidi mogu se konfigurirati tako da otkriju i zaustave ovo ponašanje. Zato neke tehnike skeniranja portova djeluju drugačije. Na primjer, može se skenirati manji raspon portova ili čitav raspon portova u mnogo dužem razdoblju kako bi ga bilo teže otkriti.
  
-TCP connect() skeniranje uspostavlja vezu obavljanjem „full handshake-a“, tj šalje poruku SYN, te ako primi SYN-ACK, odgovara s ACK. Polu otvoreno skeniranje ili SYN stealth skeniranje šalje samo SYN (sinkronizacijsku) poruku i ne dovršava vezu, ostavljajući ciljano odredište bez odgovora. To je brza i lukava tehnika usmjerena na pronalaženje potencijalnih otvorenih portova na uređajima. Idle tehnika skeniranja koristi drugo računalo, tzv. zombi sustav, kako bi se skenirao ciljani port.+TCP  skeniranje uspostavlja vezu obavljanjem „full handshake-a“, tj šalje poruku SYN, te ako primi SYN-ACK, odgovara s ACK. Polu otvoreno skeniranje ili SYN stealth skeniranje šalje samo SYN (sinkronizacijsku) poruku i ne dovršava vezu, ostavljajući ciljano odredište bez odgovora. To je brza i lukava tehnika usmjerena na pronalaženje potencijalnih otvorenih portova na uređajima. Idle tehnika skeniranja koristi drugo računalo, tzv. zombi sustav, kako bi se skenirao ciljani port.
  
 Druge vrste skeniranja uključuju slanje neznanih, nepravilno oblikovanih vrsta paketa i čekaju da udaljeni sustav vrati RST paket koji zatvara vezu. Ako to uspije, skener zna da na tom mjestu postoji udaljeni sustav i da je na njemu zatvoren jedan određeni ulaz. Ako nije primljen nijedan paket, skener zaključuje da je port biti otvoren. Neke od takvih tehnika su FIN i Xmas skeniranje. Xmas skeniranje je dobilo svoje ime zbog skupa zastava koje su uključene u paketu. Ponekad FIN pakete (poruka koja znači da "pošiljatelj više nema dostupnih podataka") vatrozid ne primijeti jer uglavnom traži SYN pakete. Zato su Xmas skeniranja dizajnirana da manipuliraju PSH, URG i FIN zastavama TCP zaglavlja. Ovo je jednostavno lukaviji način da se sazna o zaštiti mreže i vatrozidu jer se ovo skeniranje rijetko pojavljuje u zapisnicima. Uz navedene učestale tehnike skeniranja, postoje i mnoge druge, poput Ping, IP Protocol i UDP skeniranja. Druge vrste skeniranja uključuju slanje neznanih, nepravilno oblikovanih vrsta paketa i čekaju da udaljeni sustav vrati RST paket koji zatvara vezu. Ako to uspije, skener zna da na tom mjestu postoji udaljeni sustav i da je na njemu zatvoren jedan određeni ulaz. Ako nije primljen nijedan paket, skener zaključuje da je port biti otvoren. Neke od takvih tehnika su FIN i Xmas skeniranje. Xmas skeniranje je dobilo svoje ime zbog skupa zastava koje su uključene u paketu. Ponekad FIN pakete (poruka koja znači da "pošiljatelj više nema dostupnih podataka") vatrozid ne primijeti jer uglavnom traži SYN pakete. Zato su Xmas skeniranja dizajnirana da manipuliraju PSH, URG i FIN zastavama TCP zaglavlja. Ovo je jednostavno lukaviji način da se sazna o zaštiti mreže i vatrozidu jer se ovo skeniranje rijetko pojavljuje u zapisnicima. Uz navedene učestale tehnike skeniranja, postoje i mnoge druge, poput Ping, IP Protocol i UDP skeniranja.
racfor_wiki/mrezna_forenzika/skeniranje_portova.1578567050.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0