Diferente das técnicas descritas na página anterior, as varreduras de TCP-FIN, árvore de natal e TCP vazio não utilizam flags SYN de abertura de conexão, apenas enviam um pacote para o host alvo. Elas diferem uma da outra apenas nas flags TCP que ativam.

Normalmente nenhuma destas flags deveriam estar ativas, pois não houve conexão estabelecida. E é pela resposta ou pela falta dela que o NMAP deduz o estado da porta. Estas varreduras são conhecidas como stealth por serem tão sutis como mergulhadores. São largamente utilizadas para identificação de firewall.

Varreduras TCP-FIN

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em enviar datagramas com flag FIN setadas para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolve resposta alguma caso a porta esteja aberta.

# nmap -sF 192.253.10.253

Varreduras X-MAS (árvore de natal)

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em enviar datagrama FIN, URG e PSH para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolve resposta alguma caso a porta esteja aberta. Varredura conhecida como XMAS TREE SCAN.

# nmap -sX 192.253.10.253

Varreduras TCP NULA

Varreduras implementadas para difícil detecção. Com referência na RFC 793, essa técnica consiste em não setar a flag do datagrama e enviá-lo para a porta alvo que deve devolver RST caso a porta esteja fechada e não devolver resposta alguma caso a porta esteja aberta. Varredura conhecida como TCP NULL SCAN.

# nmap -sN 192.253.10.253

Com a evolução dos sistemas IDS, evoluíram também as formas de varreduras. Vejamos algumas formas de varreduras especiais:

Varredura de firewall

Tem como objetivo mapear as regras de filtragem de um firewall. A varredura do firewall consiste em envio de pacotes TCP e UDP, mas com um TTL maior que o firewall espionado. Se ele permite tráfego transmitirá para o próximo hop onde ele responderá com ICMP_TIME_EXCEEDED ou Unfitered, caso a porta não esteja filtrada. Caso não permita ele dispensará o datagrama e não teremos resposta alguma.

# nmap -sA 192.253.10.253

Resultado:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 09:29 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.253.10.253:
Not shown: 1670 filtered ports
PORT STATE SERVICE
20/tcp UNfiltered ftp-data
21/tcp UNfiltered ftp
22/tcp UNfiltered ssh
24/tcp UNfiltered priv-mail
80/tcp UNfiltered http
110/tcp UNfiltered pop3
143/tcp UNfiltered imap
443/tcp UNfiltered https
953/tcp UNfiltered rndc
3306/tcp UNfiltered mysql
MAC Address: 00:50:DA:B7:72:2A (3com)

Nmap finished: 1 IP address (1 host up) scanned in 282.606 seconds

Varreduras temporizadas

São efetuadas em tempos programados. As opções de temporizações das varreduras são de T0 a T5 . São Elas:

Varreduras Paranoid:

# nmap -sF -n -T 0 192.253.10.253

Varreduras Sneaky (15 segundos de delay):

# nmap -sF -n -T 1 192.253.10.253

Varreduras Polite (0,4 segundos de delay):

# nmap -sF -n -T 2 192.253.10.253

Varreduras Normal (default):

# nmap -sF -n -T 3 192.253.10.253

Varreduras Agressive (1.25 segundos de delay por host):

# nmap -sF -n -T 4 192.253.10.253

Varreduras Insane (0.3 segundos de delay):

# nmap -sF -n -T 5 192.253.10.253

Varreduras RPC/SMB:

Esta varredura tem por objetivo levantar compartilhamentos NFS, rlogin, portmap etc, serviços tipicamente Linux.

# nmap -R 192.253.10.253

Resultado:

# nmap -R 192.252.10.250
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 10:16 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.252.10.250:
Not shown: 1670 closed ports
PORT STATE SERVICE
21/tcp open ftp

22/tcp open ssh
23/tcp open telnet
80/tcp open http
240/tcp filtered unknown
376/tcp filtered nip
906/tcp filtered unknown
1374/tcp filtered molly
2000/tcp open callbook
3986/tcp open mapper-ws_ethd
MAC Address: 00:0C:42:1F:72:1C (Routerboard.com)

Varreduras furtivas

Um bom exemplo do poder do NMAP é a capacidade manipular a porta de origem dos pacotes montados pelo scanner, o objetivo é uma varredura furtiva com a opção -g, tentando ludibriar um packet filter.

# nmap -sF -g 53 192.253.10.253

Resultado:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-21 10:20 AMT
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns_servers
Interesting ports on 192.253.10.253:
Not shown: 1672 open|filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
24/tcp closed priv-mail
80/tcp closed http
110/tcp closed pop3
143/tcp closed imap
443/tcp closed https
953/tcp closed rndc
MAC Address: 00:50:DA:B7:72:2A (3com)

Nmap finished: 1 IP address (1 host up) scanned in 65.187 seconds

Trecho da captura WIRESHARK no momento da varredura:

No. Time Source Destination Protocol Info
495 14.529536 192.253.10.203 192.253.10.253 TCP domain > 351 [FIN] Seq=4294901761 Len=0
Frame 495 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 351 (351), Seq: 4294901761, Len:
<-- comentário do autor -->

Porta de origem 53

<-- fim do comentário -->

0

No. Time Source Destination Protocol Info
496 14.533531 192.253.10.203 192.253.10.253 TCP domain > 864 [FIN] Seq=4294901761 Len=0

Frame 496 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 864 (864), Seq: 4294901761, Len: 0

No. Time Source Destination Protocol Info
497 14.581613 192.253.10.203 192.253.10.253 TCP domain > 27002 [FIN] Seq=0 Len=0

Frame 497 (54 bytes on wire, 54 bytes captured)
Ethernet II, Src: 00:1a:73:3d:b9:10 (00:1a:73:3d:b9:10), Dst: Pro-Nets_37:7d:be (00:06:4f:37:7d:be)
Internet Protocol, Src: 192.253.10.203 (192.253.10.203), Dst: 192.253.10.253 (192.253.10.253)
Transmission Control Protocol, Src Port: domain (53), Dst Port: 27002 (27002), Seq: 0, Len: 0

<-- comentário do autor -->
O ataque se deu pela porta 53 com destino diversos. A tentativa poderá burlar o firewall e efetuar o fingerprint com sucesso.
<-- fim do comentário -->

Considerações finais

Um portscan é uma ferramenta que possibilita ao administrador de redes informações as quais facilitará a administração dos servidores, assim como sua monitoração. Sua utilizacão se torna cada dia mais complexa à medida que as redes de computadores se tornam também complexas, porém esta profissão tão fascinante, administrador de redes, torna o profissional cada dia mais dinâmico. Ferramentas são a base do administrador de sistemas e estudá-las faz parte de sua rotina de trabalho.

Espero ter colaborado :)
Um abraco e até o próximo.

Cristofe Rocha
ADM.Rede

Bibliografia

• Segurança de redes e sistemas. Escola Superior de redes, 2008;
• Projeto de Segurança em software livre. Editora Alta-books. Melo, Sandro, 2004;
• Exploracão de redes TCP/IP 2 edição atualização.Editora Alta-books. Melo, Sandro, 2006;
• BS7799 da tática a prática em servidores Linux. Editora Alta-books. Melo, Sandro, 2006.