2.2.1.1.8 Null сканирование

При Null сканировании выключаются все управляющие биты, создавая недостаток TCP флагов, которые никогда не должны происходить в действительности [36].

Если порт закрыт, должен быть возвращен пакет с установленным битом RST (рисунок 2.22).

Исходный Адресат

Рисунок 2.22. Null сканирование закрытого порта

Ответ на Null сканирование к открытому порту не приводит ни к какому ответу (рисунок 2.23).

Исходный Адресат

Рисунок 2.23 - Null сканирование открытого порта

К преимуществам Xmas и Null сканирования можно отнести следующее. Так как сеансы TCP соединений не создаются ни для одного из этих типов сканирования, они остаются невидимыми для приложений удаленного компьютера. Поэтому, ни один из этих типов сканирования не должен оставлять записи ни в одном из журналов регистрации.

Для определения закрытого порта необходимо передать два пакета, а для открытого – всего один.

Недостатками Xmas и Null сканирования является то, что на компьютере с операционной системой Windows, все порты будут казаться закрытыми, независимо от их фактического состояния.

Эти типы сканирования используют пакеты, которые не отвечают требованиям стандарта TCP. Чтобы собирать такие специальные пакеты, ложные сокеты операционной системы формирует пакеты из ничего. Это обходит требования операционной системы, которые обычно накладываются на IP соединение, но это также требует, чтобы пользователь, имел привилегированный доступ к системе [20].

Некоторые операционные системы ограничивают номер RST пакетов, посланных отдельному компьютеру, и эти пределы могут вынудить программу Nmap (программа для сканирования портов) выдать ложную информацию, что порт является открытым.

2.2.1.2 Методы "невидимого" удаленного сканирования

2.2.1.2.1 Скрытая атака по ftp

Первым методом анонимного сканирования является метод, получивший название FTP Bounce Attack (скрытая атака по FTP). Протокол FTP (RFC 959) имеет ряд недостаточно описанных функций, одна из которых - возможность создания так называемых "proxy" ftp-соединений с FTP-сервера. Если программная реализация FTP-сервера поддерживает режим proxy, то любой пользователь (и анонимный в том числе) может, подключившись к серверу, создать процесс DTP-server (Data Transfer Process - процесс передачи данных) для передачи файла с этого FTP-сервера на любой другой сервер в Internet. Функциональность данной возможности протокола FTP вызывает некоторое сомнение, так как в обычной ситуации ftp-клиент, подключающийся к серверу, передает и получает файлы либо непосредственно от себя, либо для себя [26].

Эта особенность протокола FTP позволяет предложить метод TCP-сканирования с использованием proxy ftp-сервера, состоящий в следующем: ftp-серверу после подключения выдается команда PORT с параметрами IP-адреса и TCP-порта объекта сканирования. Далее следует выполнить команду LIST, по которой FTP-сервер попытается прочитать текущий каталог на объекте, посылая на указанный в команде PORT порт назначения TCP SYN-запрос. Если порт на объекте открыт, то на сервер приходит ответ TCP SYN АСК и FTP-клиент получает ответы "150" и "226", если же порт закрыт, то ответ будет таким:

425. Can't Build Data Connection: Connection Refused

(425. Невозможно установить соединение: в соединении отказано).

Далее в цикле FTP-серверу последовательно выдаются команды PORT и LIST и осуществляется сканирование разных портов.

Данный метод вплоть до конца 1998 года был единственным и уникальным методом "невидимого" анонимного сканирования. Основная проблема взломщиков всегда состояла в невозможности скрыть источник сканирования, так как требовалось получать ответы на передаваемые запросы. Кроме того, в некоторых случаях межсетевой экран (МЭ) мог фильтровать запросы с неизвестных IP-адресов, поэтому данный метод совершил революцию в сканировании, так как, во-первых, позволял скрыть адрес злоумышленника и, во-вторых, давал возможность сканировать контролируемую МЭ подсеть, используя внутренний расположенный за МЭ ftp-сервер.