El día de hoy, en este documento paso a paso les hablare acerca de una técnica de scanning muy básica y sencilla, pero que forma parte de los conocimientos y habilidades que un usuario experto en seguridad informática debe tener, y que comúnmente un hacker malicioso llevaría a la practica.
La técnica es llamada TCP Connect, o Full TCP Connect. Y tiene como objetivo determinar cuando un puerto esta abierto estableciendo una conexión TCP completa.
Pero, ¿Que quiere decir esto?
En el mundo de las redes y las comunicaciones cuando dos equipos se quieren comunicar entre si tienen que llevarse acabo mecanismos de autenticacion, es decir, ambas partes tienen que identificarse mutuamente para poder llevar acabo la transmisión de información.
Y esto pasa de la siguiente manera.
1.- El equipo 1 que se quiere comunicar con el otro equipo (equipo 2) suele enviarle un paquete de red de tipo TCP SYN mas el puerto.
El paquete SYN es utilizado para iniciar una comunicacion.
2.- El equipo 2 recibe el paquete TCP SYN del equipo 1 y entonces envía un paquete TCP SYN ACK al equipo 1.
El paquete SYN ACK es un acuse de recibo, es como una forma de decirle "Recibí tu petición de conexión, hablemos por el puerto especificado"
3.- Para finalizar, el equipo 1 envia un paquete ACK + RST al equipo 2 para comunicarle que "Esta enterado que acepto la solicitud de comunicación"
Y a partir de aquí la comunicación es iniciada y la transmisión de información da comienzo entre ambos equipos.
He aquí una imagen.
Attacker = Usuarios malintencionados - Lammer's - Hacker's
Target = Equipo victima
Es importante mencionar que cuando un puerto esta cerrado y no se puede iniciar una comunicación normal, el equipo enviara rápidamente un paquete RST que tiene como objetivo comunicar que no se ha podido establecer la conexión y esta ha sido terminada o reiniciada.
Bien, ahora que ya conocemos como se establece una comunicación entre dos equipos pasemos a lo interesante, a la practica, a portarnos mal, a testear un equipo.
¿Que ocupamos?
N-Map que es el escaner de red mas potente que existe.
Equipo victima dentro de red LAN.
Manos a la obra....
Lo primero que tenemos que hacer en nuestro equipo atacante es especificarle a N-MAP que el tipo de escaneo que llevaremos a cabo es de tipo TCP Connect.
En command escribimos:
nmap -sT 192.168.1.67
Donde:
nmap es el comando que invoca al programa
-sT específica el tipo de escaneo
192.168.1.67 es la dirección IP de nuestra victima
Una vez especificado los comandos damos clic en "Scan" y en escasos segundos el programa nos mostrara los resultados con los puertos abiertos y los servicios que corren a través de el.
Y a partir de aquí se pueden realizar muchas cosas, como por ejemplo tratar de saber la versión del sistema operativo y su arquitectura, para después buscar vulnerabilidades en el equipo y tratar de hacerse con el control de el.
VENTAJAS DEL ESCANEO
Solo dos, no requiere de permisos especiales (administrativos) para llevarse acabo.
Muy potente a la hora de obtener los resultados.
DESVENTAJAS DEL ESCANEO
Muchas, es fácil de detectar por los sistemas de seguridad.
Antivirus, Cortafuegos, IDS de Red, IDS de equipo local, Sistemas de prevención de intrusos.
Suele dejar muchos rastros del escaneo en los log's del equipo escaneado.
No obstante, aunque parezca raro existen muchos sistemas que no suelen bloquear este tipo de escaneos y un hacker remoto puede aprovecharse de esto.
CONTRA MEDIDAS
- Siempre tener un sistema de detención de intrusos
- Crear regalas de inspección de paquetes en el cortafuegos
