Para continuar los textos que llevo haciendo desde hace tiempo me he animado a escribir ahora sobre tcnicas

de deteccin de host y puertos del mismo. Muy til y utilizado por herramientas como lo es nmap y son forma de poder bypassear de cierto modo reglas de firewalls. Tambin analizaremos los pros y contras de cada uno para poder tener la idea de que podemos utilizar y en que situaciones. Pondr los tipos de escaneos que veremos y las tcnicas que se utilizan para cada tipo: Open
o

-TCP connect()

Half/Open
o

-TCP SYN Scan

Silence
o o o o

-TCP FIN Scan -ACK Scan -Null Scan -Xmas Scan

Others
o

-UDP Scan

Bueno existen otras mas exticas y dems combinaciones, pero son las mas conocidas y despus de esto puede de construir segmentos para intentar combinaciones y ver los resultado pero bueno, esto nos abre bastante el panorama para entender como funciona y las tcnicas que se utilizan para bypassear firewalls, IDS, etc... Si alguien tiene alguna duda sobre los trminos como RST, FIN, ACK y deas que se mencionan pueden consultar mis textos anteriores de Deep Into Networks & Protocols y sin mas vamos a empezar...

TCP connect() Esta es de la mas comn en cualquier tipo de software y port scanners que andan online. Consiste en usar el mtodo connect() que brinda TCP para establecer una conexin con algn host y esto se repite con cada uno de los puertos que se le indiquen o de la lista

que se utilice para scannear. Si se estable conexin por el puerto se interpreta como ABIERTO (revisar los textos anteriores para ver como se establece una conexin). SYN / SYN+ACK / ACK Si se recibe un RST (se rechaza la conexin) es que el puerto esta CERRADO. SYN / RST Y si no se obtiene respuesta se interpreta como que el puerto esta en WASTE o en (silencio/dormido). SYN --- Sin respuesta

PROS:

Esta tcnica es simple y rpida, suele utilizarse varios sockets para hacerlo al mismo tiempo y acelerar el proceso y es sumamente simple de implementar.

CONTRAS:

Es muy ruidosa, genera mucho ruido en la red y es fcil de detectar puesto que se realiza la conexin completa y adems se dejan logs con esto y suponiendo que se utilizan muchos sockets pues muchas conexiones en un minuto y clara alerta que saltara.

TCP SYN (Half Open Scan) Tambin se le conoce como Half/open (medio abierto). Esta a comparacin de TCP connect() es que TCP SYN no estable la conexin completa de hay el nombre Half Open. Esta consiste en enviar un SYN para "iniciar la conexin" y espera recibir respuesta. Si se recibe un SYN+ACK se interpreta que el puerto esta abierto y se responde con un RST. SYN / SYN+ACK / RST Si se recibe un RST se interpreta que el puerto esta cerrado. SYN / RST Si se no se recibe respuesta quiere decir que el puerto esta en WASTE

(silencio/dormido). SYN --- Sin respuesta

PROS:

Se evitar la conexin completa y por ende evitamos dejar logs tan obvios como en TCP connect() y podemos burlar algunas reglas en firewalls simples. Hace menos ruido que otras tcnicas y ofrece resultados fiables.

CONTRAS:

Es fcil de detectar por IDS y Firewalls mas avanzados y mejor reglados. Es un poco lenta y se necesitan mximos privilegios por las llamadas al sistema que realiza y el tipo de socket que utiliza (TCP Raw).

TCP FIN(Stealth Scan) Se le conoce tambin como Stealth Scan es de los mas conocidos de las tcnicas ninjas de escaneo xD silenciosas. Este escaneo esta muy bien fundamentado puesto que consiste en enviar un segmento FIN y el estndar de TCP/IP menciona que al recibir un FIN para terminar una conexin se responde como un RST. Se enva un FIN y si se responde con un RST el puerto esta CERRADO. FIN / RST Se enva un FIN y si no se obtiene respuesta se interpreta como que el puerto esta ABIERTO o WASTE. FIN --- Sin respuesta

PROS:

Es una tcnica bastante rpida y no se establece ninguna conexin. No deja logs y generalmente pasa limpio por los firewalls y IDS

CONTRAS:

Tenemos falsos positivos MUCHOS puesto que no se obtiene una respuesta concreta si esta WASTE u OPEN. Buenas reglas en Firewalls y IDS lo detectaran (muy dificil). Problemas con Windows por los estndares

ACK Scan Este estilo de escaneo se destino principalmente para eliminar los falsos positivos en tcnicas como FIN o SYN que nos brinda un "mapa" pero hasta cierto punto este "mapa" lo podemos afinar mas con un ACK scan.

Consiste en enviar un segmento ACK con nmeros aleatorios (# de secuencia y # de confirmacin). Si el puerto esta ABIERTO nos responde con un RST. ACK / RST Si el puerto esta esta CERRADO nos responde con un RST ACK / RST SI el puerto esta WASTE no obtenemos respuesta. ACK --- sin respuesta

PROS:

Nos ayuda con falsos positivos, para aclarar el estado de algunos puertos. Tambin la tcnica se utiliza para remplazar la metdica tcnica del ping (ICMP echo).

CONTRAS:

Necesitamos realizar un escaneo previo o posterior para aclarar el escenario. Difcil de detectar por firewalls e IDS

Null Scan Muy parecido al FIN scan y consiste en enviar segmentos TCP con todos los flags activos o desactivados y esperar respuesta. Si el puerto esta CERRADO nos responde con un RST. Package / RST Si el puerto esta ABIERTO o WASTE no recibimos respuesta Package --- sin respuesta

PROS:

Puede sustituir algunas tcnicas de escaneo como lo es FIN y tambin evita fcilmente a los firewalls e IDS. Tambin nos permite eliminar falsos positivos y aumentar nuestro directorio de tcnicas alternativas.

CONTRAS:

No siempre es til y suele ser un poco lento.

XMAS Scan

Esta tcnica se basa en enviar un segmento TCP con los flags PUSH URG FIN activos (1) .Existen variaciones que activan PSH URG FIN ACK SYN y jugan con estos flags. Se enva el segmento con los flags activos... Si el puerto esta CERRADO se recibe RST TCP package / RST Si el puerto esta ABIERTO o WASTE no se recibe respuesta TCP package --- Sin respuesta

PROS:

Nos ayuda a aclarar el panorama dependiendo la circunstancia. Es dificil de detectar y de igual forma evitar dejar logs.

CONTRAS:

Solo se utiliza en circunstancia especificas y no siempre es util. De igual forma un buen firewall e IDS nos puede parar en seco.

UDP Scan Obviamente esta orientado al protocolo UDP y consiste en mandar un segmento UDP vaco al puerto. Si el puerto esta ABIERTO o WASTE no se recibe respuesta. UDP(0) --- sin respuesta Si el puerto esta CERRADO se recibe un ICMP type 3. UDP(0) / ICMP(3) Y bueno hasta aqu lo dejamos. Estas son las tcnicas mas utilizadas por las herramientas que solemos utilizar y en el prximo paper vamos a ver mas tcnicas exticas y complejas. Sin mas me despido de parte de http://greydot.ws un abrazo y un saludo a todos.