Idle Scan

Hace varios aos, Salvatore Antirez cre una tcnica de escaneo de puertos de TCP. Un "Idlescan", que permite un escaneo de puertos completamente invisible. Se puede realmente escanear una mquina sin necesidad de enviar ni un slo paquete al host destino desde su propia direccin. En lugar de ello, un ataque paralelo permite que el escaneo sea una especie de rebote en una mquina inactiva ("zombie") . Los reportes de sistemas de deteccin de intrusin (IDS) indicarn a la mquina "zombie" como la atacante. Adems de ser extraordinariamente invisible, este tipo de escaneo permite mapear la relaciones de confianza basadas en IP entre mquinas.

Como muestra la figura, el host destino responde de manera diferente al Zombie dependiendo del estado del puerto. Si el puerto probado est abierto, el destino enva un SYN|ACK al Zombie. El Zombie no esperaba este SYN|ACK, por lo tanto, enva de vuelta un RST. Al enviar este RST, el Zombie hace que se incremente su nmero de secuencia de IPID. El verdadero atacante detecta esto en el paso 3. Si el puerto est cerrado, el destino enva un RST al Zombie. Los Zombies ignoran este paquete RST no solicitado y no incrementan su nmero de secuencia de IPID.

Uso de IdleScan

La mayora de los servidores esuchan en puertos de TCP, de la manera en la que los servidores de web escuchan en el puerto 80 y los servidores de correo en el puerto 25. Un puerto es considerado "abierto" si alguna aplicacin est escuchando en ese puerto, si no, est cerrado.

Una manera de determinar si un puerto esta abierto es envia un paquete con "SYN" (establecimiento de sesin) al puerto. La mquina destino enviar de vuelta un paquete con "SYN|ACK" (reconocimiento de pedido de sesin) si el puerto est abierto, y un paquete con "RST" si el puerto est cerrado.

Una mquina que recibe un paquete con "SYN|ACK" no solicitado previamente responder con una "RST". Pero un "RST" no solicitado previamente es ignorado.

Cada paquete de IP en Internet tiene un nmero de "identificacin de fragmento". Varios sistemas operativos simplemente incrementan este nmero por cada paquete que envan. Por lo tanto la observacin de este nmero puede decirle al atacante cuntos paquente han sido enviados desde la ltima observacin.

Para realizar el procedimiento lo primero que el usuario podra hacer es encontrar un zombi adecuado en la LAN: Se realiza un escaneo de puertos e identificacin OS (opcin-O en nmap) en la red zombie candidato en lugar de slo una exploracin de ping para la seleccin de un buen zombie.

nmap-v-O-sS 192.168.1.0/24

Esto le dice a nmap para hacer un barrido de ping y muestra todos los hosts que se encuentran en el rango de IP. Una vez que haya encontrado un zombie, al lado le enviar los paquetes falsificados:

nmap-P0-p <puerto>-sI <zombie <IP <sistema <IP

Ejemplo

Efectuar estos escaneos es bastante fcil. Simplemente hay que proveer de el nombre del host zombie a la opcin -SI y Nmap hace el resto. Este es un ejemplo rpido:

# nmap -P0 -p- -sI kiosk.adobe.com www.riaa.com

Starting nmap V. 3.10ALPHA3 ( insecure.org/nmap/ )

Idlescan using zombie kiosk.adobe.com (192.150.13.111:80); Class: Incremental Interesting ports on 208.225.90.120: (The 65522 ports scanned but not shown below are in state: closed) Port 21/tcp 25/tcp 80/tcp 111/tcp 135/tcp 443/tcp State open open open open open open Service ftp smtp http sunrpc loc-srv https IIS iad1 unknown pcanywheredata unknown unknown unknown

1027/tcp open 1030/tcp open 2306/tcp open 5631/tcp open 7937/tcp open 7938/tcp open 36890/tcp open

Nmap run completed -- 1 IP address (1 host up) scanned in 2594.472 seconds