We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Che cos'è la scansione delle porte?

La scansione delle porte è un metodo per determinare quali porte in una rete sono aperte e possono ricevere o inviare dati. È anche un processo per inviare pacchetti a porte specifiche su un host e analizzare le risposte per identificare le vulnerabilità. Questo processo di scansione non può avere luogo senza identificare un elenco di host attivi e mapparli ai relativi indirizzi IP. Al termine di una scansione di rete completa e dopo aver compilato un elenco degli host, può avere luogo una scansione delle porte appropriata. L'organizzazione di indirizzi IP, host e porte consente allo scanner di identificare correttamente posizioni server aperte o vulnerabili allo scopo di diagnosticare i livelli di protezione.

Queste scansioni rivelano la presenza di misure di sicurezza come un firewall messe in atto tra il server e il dispositivo dell'utente.

Sia gli autori di attacchi informatici che gli amministratori possono utilizzare queste scansioni per verificare o controllare i criteri di sicurezza di una rete e identificare le vulnerabilità; e nel caso dei pirati informatici, anche per sfruttare punti di ingresso deboli.

I protocolli generali utilizzati per la scansione delle porte sono TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Sono entrambi metodi di trasmissione dei dati per Internet ma hanno meccanismi diversi. TCP è un sistema di trasmissione dei dati basato su connessione, bidirezionale e affidabile, che fa affidamento sullo stato della destinazione per completare un invio corretto. UDP è un protocollo senza connessione e non è affidabile. I dati vengono inviati senza preoccuparsi della destinazione; pertanto, non è garantito che arrivino effettivamente. I diversi metodi disponibili per eseguire la scansione delle porte con questi due protocolli verranno spiegati nella sezione riportata di seguito relativa alle tecniche.

Che cos'è una porta?

Le porte dei computer sono il punto di attracco centrale per il flusso di informazioni che transita da un programma o da Internet a un dispositivo o a un altro computer in rete e viceversa. È il punto dove vengono parcheggiati i dati da scambiare attraverso meccanismi software, elettronici o di programmazione. I numeri di porta vengono utilizzati per coerenza e programmazione. La combinazione di numero di porta e indirizzo IP costituisce le informazioni vitali conservate da qualsiasi provider di servizi Internet per evadere le richieste. Le porte vanno da 0 a 65.536 e sono essenzialmente classificate in ordine di popolarità.

I numeri da 0 a 1023 indicano le porte note progettate per l'uso di Internet, benché possano avere anche scopi specializzati, e sono amministrati dallo IANA (Internet Assigned Numbers Authority). Queste porte sono detenute da aziende di alto livello come Apple QuickTime, MSN, servizi SQL e altre organizzazioni di spicco. Puoi riconoscere alcune delle porte più importanti e i servizi assegnati:

  • La porta 20 (UDP) è assegnata al protocollo FTP (File Transfer Protocol) utilizzato per il trasferimento dei dati
  • La porta 22 (TCP) è assegnata al protocollo SSH (Secure Nell'app) per accessi sicuri, ftp e port forwarding
  • La porta 53 (UDP) è assegnata al DNS (Domain Name System) per la conversione di nomi in indirizzi IP
  • La porta 80 (TCP) è assegnata al protocollo HTTP del World Wide Web

I numeri compresi tra 1024 a 49151 indicano le "porte registrate", vale a dire porte registrate dalle aziende software. Le porte nell'intervallo da 49.151 a 65.536 sono porte dinamiche e private e possono essere utilizzate praticamente da chiunque.

Che tipo di risultati genera la scansione di una porta?

Le scansioni delle porte segnalano all'utente lo stato della rete o del server, descritto in una di queste tre categorie: aperte, chiuse o filtrate.

Le porte aperte indicano che:

La rete o il server di destinazione sta accettando attivamente connessioni o datagrammi e ha risposto con un pacchetto che indica che è in ascolto. Indica inoltre che anche il servizio utilizzato per la scansione (di solito TCP o UDP) è in uso. L'individuazione di porte aperte è in genere l'obiettivo generale della scansione delle porte e una vittoria per un criminale informatico in cerca di una via di attacco. Gli amministratori tentano di barricare queste porte installando firewall per proteggerle senza limitare l'accesso per gli utenti legittimi.

Le porte chiuse indicano che:

Il server o la rete ha ricevuto la richiesta ma non c'è alcun servizio "in ascolto" su quella porta. Una porta chiusa è ancora accessibile e può essere utile per indicare che un host si trova su un indirizzo IP. Queste porte dovrebbero comunque essere monitorate, dal momento che possono aprirsi e creare vulnerabilità. Gli amministratori dovrebbero considerare la possibilità di bloccarle con un firewall, nel qual caso diventerebbero quindi porte "filtrate".

Le porte filtrate indicano che:

È stato inviato un pacchetto di richieste, ma l'host non ha risposto e non è in ascolto. Ciò significa di solito che un pacchetto di richieste è stato filtrato e/o bloccato da un firewall. I pacchetti non raggiungono la posizione di destinazione e pertanto gli autori degli attacchi non riescono a trovare maggiori informazioni. Spesso rispondono con messaggi di errore di "destinazione irraggiungibile" o "comunicazione vietata".

Quali sono le tecniche di scansione delle porte?

Esistono diverse tecniche di scansione delle porte che inviano pacchetti alle destinazioni per varie ragioni.

Di seguito sono elencate alcune delle tante tecniche disponibili e viene spiegato come funzionano:

  • Le scansioni delle porte più semplici sono chiamate scansioni ping. Sono richieste del protocollo ICMP (Internet Control Message Protocol). Le scansioni ping inviano una serie automatizzata di svariate richieste ICMP a server diversi per carpire risposte. Gli amministratori possono utilizzare questa tecnica per la risoluzione dei problemi o disabilitare il ping utilizzando un firewall, che rende impossibile agli utenti malintenzionati individuare la rete tramite ping.
  • Una scansione semi-aperta, o scansione "SYN", invia solo un messaggio SYN (abbreviazione di sincronizzato) e non completa la connessione, lasciando la destinazione in sospeso. È una tecnica rapida e insidiosa che mira a individuare potenziali porte aperte sui dispositivi di destinazione.
  • Le scansioni XMAS sono ancora più discrete e meno evidenti. A volte i pacchetti FIN (messaggio che indica che "non ci sono più dati disponibili dal mittente") passano inosservati dai firewall, che vanno in cerca prevalentemente di pacchetti SYN. Per questa ragione, le scansioni XMAS inviano pacchetti con tutti i flag, tra cui FIN, senza aspettarsi risposte, il che significa che la porta è aperta. Se invece si ottiene una risposta RST, significa che la porta è chiusa. Si tratta semplicemente di un modo ancora più insidioso per ottenere informazioni sulla protezione e il firewall di una rete, dal momento che questa scansione viene segnalata di rado nei log.

In che modo i criminali informatici utilizzano la scansione delle porte come metodo di attacco?

Stando a quanto afferma il SANS Institute, la scansione delle porte è una delle tattiche più comuni utilizzate dai pirati informatici in cerca di un server vulnerabile da violare.

Questi criminali utilizzano spesso la scansione delle porte come passaggio preliminare quando prendono di mira le reti. Ricorrono alla scansione per indagare sui livelli di sicurezza di varie organizzazioni e determinare chi dispone di un firewall potente e chi può avere un server o una rete vulnerabile. Un certo numero di tecniche basate sul protocollo TCP consente effettivamente agli autori di attacchi informatici di nascondere la loro posizione in rete e utilizzare il "traffico esca" per eseguire scansioni di porte senza rivelare l'indirizzo di rete alla destinazione.

Sondano reti e sistemi per vedere come reagirà ogni porta, aperta, chiusa o filtrata. Le risposte aperte e chiuse avvisano gli hacker che la rete è di fatto vittima di una scansione. Questi criminali informatici possono quindi determinare il livello di sicurezza e il tipo di sistema operativo dell'azienda. La scansione delle porte è una vecchia tecnica che richiede modifiche alla protezione e informazioni aggiornate sulle minacce di pari passo con l'evoluzione quotidiana di protocolli e strumenti di protezione. Sono necessari firewall e avvisi sulla scansione delle porte per monitorare il traffico in ingresso sulle porte e garantire che quello dannoso non rilevi la rete.