Técnicas de Var r edur a
Ba se a da s e m por t a s:
Em que o scanner se com por t a com o um pseudo- client e, ident ificando as
Técnicas de Var r edur a
Ba se a da s n os se r v iços
Var r edur as de por t as clássicas
TCP connect
TCP syn ( conexão sem i- aber t a)
Baseadas na RFC 793 ( não Micr osoft w ar e) TCP Xm as Tree ( ár vor e de nat al)
TCP null ( var r edur as nulas) Micr osoft w ar e e RFC 793 UDP
ACK
TCP w indow
TCP Connect
Quase t odos scanner s de por t as usam esse r ecur so.
Na pr át ica, é um handshake par a cada por t a definida na var r edur a. Um handshake dem anda duas
m ensagens TCP por por t a.
A var r edur a é facilm ent e det ect ável. Não é pr eciso nenhum pr ivilégio
TCP Connect
Um a m ensagem SYN é enviada.
Se a por t a e st iv e r ( a be r t a ) ou v in do
com u m se r v iço, a conexão se suceder á.
Um SYN é r e t or n a do est abelecendo o
n ú m e r o de se qu ê n cia in icia l. Um ACK
consider a o ca m po n u m é r ico de
TCP Connect
Se a por t a e st ive r ( fe ch a da ) se m
se r v iço ou v in do, um a m ensagem RST é r e t or n a da , par a r e in icia r o pe dido de con e x ã o.
A m áquina- alvo m ost r ar á um a
conexão que falhou, por que a por t a não est á ouvindo, em est ado de
TCP Connect
Por t Scanner s - Nm ap
TCP SYN
Técnica m uit o usada.
O scanner envia um a m ensagem
SYN, com o se est iv esse pedindo um a conexão.
Um a respost a da m áquina- alvo com SYN/ ACK indica que a por t a se
TCP SYN
Um RST indica que a por t a não est á ouv indo. O handshake é cancelado. A t écnica ser conhecida com o
conexão sem i- aber t a, pois a explor ação não dem anda um
TCP SYN
N m a p usa essa lógica.
Mas, é com um encont r ar m os
scanner s m al escr it os que não enviam o RST após o SYN/ ACK.
É com o se o scanner não t ivesse r ecebido o SYN/ ACK.
I st o m ot iva o scanner a realizar um a segunda m ensagem RST.
TCP SYN
Por t Scanner s
- N e t st a t ( Window s) - N e t ca t
- Am a p ( ideal par a leit ur a de
banner s)
- Bla st e r - H pin g2
- N m a p ( pode ser com binado com o
Varr eduras baseadas na RFC 793
Com por t a s fe ch a da s ( sem ser viço) , ao r eceber em TCP FI N , ou
m ensagem com pr ior idade TCP
FI N / URG/ PSH , ou m ensagem TCP N ULL ( sem nenhum flag at ivo) , o
host - alvo r esponde com um TCP
Varr eduras baseadas na RFC 793
Quando a por t a e st ive r a be r t a
( e x ist e se r viço) , eles são ignor ados. O h os- a lvo n ã o r e spon de .
O scanner não recebe nenhum a r espost a, pois n ã o pode m
Varr eduras baseadas na RFC 793
Convém que um I DS na m áquina-alvo, possa ident ificar var r edur as baseadas na RFC 793.
Se um I DS só ident ifica var redur as de início de conexão ( TCP Connect e TCP SYN) , a t écnica RFC 793 passa
Varr eduras baseadas na RFC 793
Não funcionam em pilhas TCP/ I PMicr osoft w are, pois essas não seguem a RFC 793.
Pilhas TCP/ I P M icr osoft w a r e
r e spon de m com TCP RST , t ant o
par a por t a s a be r t a s, com o par a
Varr eduras baseadas na RFC 793
em pilhas TCP/ I P Micr osoft w ar e
Varr eduras baseadas na RFC 793
Por t Scanner s - Hping2
Var r edur a Xm as Tr ee
Equivale a TCP FI N.
Com por t a s a be r t a s ( com ser viço) , e m ensagem com pr ior idade TCP
Var r edur a Xm as Tr ee
Com por t a s fe ch a da s ( sem ser viço) , e m ensagem com pr ior idade TCP
FI N / URG/ PSH , o host - alvo
Var r edur a Xm as Tr ee
Por t Scanner s - Hping2
TCP Null ( sem flags at ivos)
Equivalent e a TCP FI N.
Tem - se r espost a TCP RST par a
por t a s fe ch a da s.
TCP Null ( sem flags at ivos)
Por t Scanner s - Hping2
Var r edur as ACK
Técnica usada par a ident ificar Fir ew alls.
Um TCP ACK, que não per t ença a nehum a conexão est abelecida, é ger ado pelo
scanner .
Var r edur as ACK
Sendo um I CMP 3 ou nenhum a r espost a é dev olvida, é assum ido que as por t as são filt r adas, ou sej a exist e Fir ew all.
Por t Scanner Hping2
Ex em plo:
Var r edur a TCP Window
Técnica avançada.
Tem com o obj et iv o ident ificar por t as pr ot egidas por Fir ew all, e não por t as aber t as com out r os ser viços.
Nm ap envia ACK- w in. Volt ando RST,
Var r edur a TCP Window
N ã o t e n do r e spost a ou v olt a n do
I CM P 3 , a por t a est á filt r ada e assim
exist e Fir ew all. Por Scanner
- Nm ap
Var r edur as FI N/ ACK
For m a de ident ificar um Fir ew all. Bit FI N at ivo.
Com por t am ent o sim ilar à var r edur a ACK. Por t Scanner s
- Hping2 - Nm ap Ex em plos:
hping2 ip.ip.ip.ip –fin –ack –p < por t a
Escondendo um Fir ew all
Enganar um scanner com o o Nm ap. Se N m a p r e ce be r u m TCP RST
com o r espost a, ele envia dois pacot es.
Par a esses dois pacot es enviados,
Escondendo um Fir ew all
Se N m a p r e ce be I CM P 3 com o
r espost a, ele a ssu m e qu e a por t a é
filt r a da por u m Fir e w a ll que rej eit a
Escondendo um Fir ew all
Se N m a p n ã o r e ce be n e n h u m a
r e spost a , ele envia m ais quat r o
pacot es e, não obt endo nenhum a
r espost a, e le a ssu m e a por t a com o
Escondendo um Fir ew all
Definindo- se um a polít ica pa r a o fir e w a ll, em que a por t a 22 som ent e aceit e
conexões I P j á pr é- definidas, qualquer out r o pacot e I P ser á r ej eit ado.
Na polít ica, definim os o fir e w a ll n ã o
r e j e it a r pa cot e s com I CM P ( não
Escondendo um Fir ew all
I st o, faz com que sej a ger ado um
fa lso n e ga t ivo, ou sej a, um a
infor m ação t al que, a ocor r ência exist e, m as não é ident ificada ( o
Var r edur as UDP
Técnica que descobr e os ser viços UDP
at ivos, ou sej a, as por t as UDP aber t as em um host .
Dat agr am as de 0 by t es são em it idos a cada por t a da m áquina- alvo.
Var r edur as UDP
Por t Scanner s - Net st at
Var r edur as RPC
Varr edur a baseada em ser viço. Lav ant ando dados de RPC com Nm ap:
Var r edur a Bounce
Técnica que consist e em ut ilizar um ser viço de um det er m inado host par a levant ar infor m ações sobr e out r os
Varr eduras baseadas
Varr eduras Fur t iva Tem por izadas
Tam bém conhecida com o “ Slow Scan” .
Te m por iz a o envio de pacot es.
Obt idas at ravés do N m a p com a opção - T.
Fe r r a m e n t a s de At a qu e
Const r ói- se ou escolhe- se as fer ram ent as par a a inv asão. Root kit s:
- Sniffer - Tr oj an
Par a concr et izar um At aque
I nst alação de Sn iffe r s.
Técnicas de Ba ck door .
Apa ga m e n t o de r a st r os ou for j a r logs,
elim inando o r ast r o do invasor ou dificult ando a audit or ia ( CleanLogs) .
At a qu e s D oS,
At aques sem int r usão
Exist em for m as de at aque que não t êm obj et iv os de int r usão.
Exem plos:
- Spam em ser vidor es que
At aques sem int r usão
Algum as supost as invasões ocor r em sem nenhum a int r usão no sist em a. Com o nos casos de at aques de
Par a Aut o- Monit or am ent o
Ver ificador es de Senha ( Joh n t h e
Rippe r ) ,
Audit or ia de Segur ança de Sist em as ( N m a p) ,
Scanner de Segur ança par a ident ificar vulner abilidades ( N e ssu s) .
Fir ew alls, Web Proxy
Melhor Pr ot eção
Est abelecim ent o de Polít icas de Segur ança.
I nfor m ações Cr ipt ogr afadas em
pr ot ocolos ( S/ MI ME, SSH, SSL, TSL, I PSec... ) .