Teoria del Network Scanning

Tra le azioni compiute da un hacker, sicuramente quella più frequente è lo scanning. Lo scanning è una attività di ricerca, che permette all’hacker di identificare sistemi da attaccare. Nel celebre film “Wargames” il protagonista metteva in pratica uno scanning telefonico; proprio in onore di quel film prenderà il nome di “war-dialing”.

Chiamando interi range di numeri l’hacker cercava computer che rispondessero alle chiamate del suo modem per poterli attaccare. Discendente del “war-dialing” è il war-driving, pratica divenuta comune gazie alla diffusione di reti wireless. War-driving significa girovagare alla ricerca di reti wireless da attaccare.

Tecnica ancora più diffusa oggi è sicuramente il network scanning. Esistono diversi strumenti per effettuare questa operazione; il principe di questa specialità è sicuramente Nmap, gioiello ben conosciuto da qualsiasi hacker del pianeta.

Il network scanning si mette in pratica nella prima fase dell’attacco, la fase di ricerca e raccolta informazioni. Si può attuare per cercare nuovi sistemi o per esplorare una rete già presa di mira.

Ci sono sostanzialmente due tipi di scanning: quello per cercare sistemi e quello per cercare servizi. Nel primo caso la scansione si può risolvere con una ping-sweep, azione mirata a rilevare gli host “vivi”. A seguito dell’invio massiccio di messaggi icmp echo (ping), i computer presenti in rete risponderanno con un icmp reply, rivelando la loro presenza all’hacker. Il messaggio icmp reply può essere inibito (lo permettono anche quasi tutti i personal firewall), proprio per evitare di esporre il sistema alla curiosità degli hacker.

Lo scanning per la ricerca di servizi è più noto come “port scanning”. A sua volta il port scanning si divide in due categorie: Tcp scanning e Udp scanning. Quello più diffuso è sicuramente il primo.

Con il Tcp scanning un hacker è in grado non solo di rilevare la presenza di un sistema, ma anche il servizio corrispondente alla porta Tcp. Per esempio, alla porta Tcp 80 corrisponde il servizio web; la presenza di questa porta rivela la presenza di un web server. La presenza della porta Tcp 21 evidenzia la disponibilità del servizio ftp e relativo server.

Il Tcp scan viene portato effettuando un tentativo di connessione. Ma esistono anche varianti che consentono l’hacker di effettuare scanning particolarmente furtivi e quasi invisibili. Sto parlando degli stealth-scan, tipi di scanning che avvicinano la figura dell’hacker a quella del leggendario ninja. Uno tipo di stealth-scan piuttosto noto è l’half-open, dove la connessione Tcp viene aperta ma non conclusa (il three-way-handshake viene lasciato in sospeso). Altro sofisticato tipo di scan furtivo è l’idle-scanning, dove l’hacker utilizza un terzo host per triangolare l’operazione di rilevazione delle porta sul sistema “vittima”.

Lo scanning è la tecnica principe dell’hacker. Esistono diversi tipi di scanning, ma tutti hanno la finalità di ottenere informazioni su di un sistema da attaccare, oppure servono proprio a trovare nuovi sistemi da attaccare. Dalla scansione di rete con le semplici ping-sweep, si arriva ai port scanning, che rilevano la presenza di servizi potenzialmente vulnerabili, passando per le scansioni furtive.

Un network scanning ben eseguito è il primo passo fondamentale verso l’attacco vero e proprio. Con le informazioni raccolte tramite un network scanning, l’hacker esperto sarà in grado di valutare come portare l’attacco, quale servizio attaccare e quale exploit utilizzare.

3 Commenti

I commenti sono bloccati.