We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

O que é verificação de porta?

Verificação de porta é um método de determinar quais portas de uma rede estão abertas e podem receber e enviar dados. Esse também é um processo para envio de pacotes a portas específicas em um host e análise de respostas para identificar vulnerabilidades. O processo de verificação é feito sem a identificação da lista de hosts ativos e seu mapeamento conforme o endereço IP. Depois que uma varredura de rede completa for concluída e uma lista de hosts for compilada, uma varredura de porta mais adequada pode ser feita. A organização de endereços IP, hosts e portas permite que a verificação identifique corretamente localizações de servidores abertos ou vulneráveis com o objetivo de diagnosticar os níveis de segurança.

Essas verificações revelam a presença de segurança como um firewall entre o servidor e dispositivo do usuário.

Tanto cibercriminosos quanto administradores podem usar essas verificações para checar as políticas de segurança de uma rede e identificar vulnerabilidades. No caso dos agressores, para explorar os pontos fracos de entrada.

Os protocolos mais comuns usados para verificação de portas são o TCP (Transmission Control Protocol) e o UDP (User Datagram Protocol). Os dois são métodos de transmissão de dados para a internet, mas contam com mecanismos diferentes. O TCP é uma transmissão baseada em conexão confiável de dados em duas vias. Ela depende do status do destino para completar um envio corretamente. O UDP funciona sem conexão e não é confiável. Os dados são enviados independentemente do destino, não podendo garantir nem mesmo a entrega dos dados corretamente. Há inúmeros métodos para se executar verificações de portas com esses dois protocolos, que serão explicados abaixo.

O que é uma porta?

Portas de computadores são pontos finais do fluxo de informação a partir de um programa (ou da internet) para um dispositivo ou outro computador na rede e vice-versa. É o estacionamento de dados que será trocado por mecanismos eletrônicos, softwares ou programas especializados. Números de portas são usados para fins de consistência e programação. O número de uma porta, atrelado a um endereço IP formam a informação vital mantida por todo provedor de internet para completar os pedidos de acesso. Portas vão de zero (0) a 65.535 e são classificadas de acordo com sua popularidade.

Portas de zero a 1.023 são bem conhecidas por serem destinadas ao uso da internet, ainda que possam ter outros propósitos mais específicos. Elas são administradas pela Internet Assigned Numbers Authority (IANA). Essas portas são mantidas por empresas de primeira linha, como os serviços Apple QuickTime, MSN, SQL e outras grandes organizações. Você pode reconhecer algumas das portas mais relevantes e os serviços atribuídos a elas:

  • Porta 20 (UDP) - abriga o File Transfer Protocol (FTP) usado para transferência de dados
  • Porta 22 (TCP) - abriga o protocolo Secure Shell (SSH) para a segurança de logins, FTP e encaminhamento de porta
  • Porta 53 (UDP) - abriga o Domain Name System (DNS), que transforma nomes de domínios em endereços IP
  • Porta 80 (TCP) - abriga o HTTP da rede mundial de computadores

Números de 1.024 a 49.151 são considerados “portas de registros”. Isso quer dizer que elas já foram registradas por empresas de software. As portas de 49.151 até 65.536 são dinâmicas e privadas, podendo ser usadas por quase todo mundo.

Que tipos de resultado uma verificação de portas oferece?

Verificações de portas relatam ao usuário o status da rede ou do servidor. Elas podem ser classificadas em uma dessas três categorias: aberta, fechada ou filtrada.

Portas abertas:

Indica que o servidor ou a rede alvo estão aceitando conexões ou datagrams ativamente. A porta responde com um pacote mostrando que ela está ouvindo. Isso também indica que o serviço usado pela verificação (tipicamente um TCP ou UDP), está em uso. Tipicamente, a descoberta de portas abertas é o objetivo geral de uma verificação de porta e uma vitória para o cibercriminoso que procura por um ponto de ataque. Administradores tentam proteger essas portas com a instalação de firewalls para protegê-las sem limitar o acesso a usuários legítimos.

Portas fechadas:

Indicam que o servidor ou a rede receberam o pedido, mas que nenhum serviço na porta está “ouvindo”. Uma porta fechada ainda pode ser acessada e ser útil para mostrar que um host está em um endereço IP. Essas portas ainda devem ser monitoradas, já que podem se abrir e criar vulnerabilidades. Administradores devem avaliar a necessidade de bloqueá-las com um firewall, transformando-as em portas “filtradas”.

Portas filtradas:

Indicam que um pacote de pedido foi enviado, mas o host não respondeu e não está ouvindo. Geralmente isso significa que um pacote de pedido foi filtrado e/ou bloqueado por um firewall. Pacotes não atingem o alvo, impedindo que agressores tenham acesso a mais informações. As portas filtradas geralmente respondem com mensagens de erro, como “destino inacessível” ou “comunicação não permitida”.

Quais são as técnicas de verificação de porta?

Há muitas técnicas de verificação de porta que enviam pacotes a destinos por diferentes motivos.

Abaixo, listo algumas das diversas técnicas e como elas funcionam:

  • A verificação de porta mais simples é chamada de ping. Essas são solicitações de protocolo de mensagem de controle da internet (ICMP). As verificações ping enviam várias solicitações ICMP automáticas para diferentes servidores esperando pelas respostas. Administradores podem usar essa técnica para resolver problemas ou desativar o ping com um firewall, tornando impossível que agressores encontrem a rede por meio de pings.
  • Uma verificação meio aberta, ou SYN envia apenas uma mensagem de sincronização e não completa a conexão, deixando o alvo aguardando. É uma técnica rápida e silenciosa para descobrir portas potencialmente abertas nos dispositivos alvo.
  • Verificação XMAS são ainda mais imperceptíveis. Algumas vezes pacotes FIN (mensagens com o sentido de que “não há mais dados disponíveis do remetente”) passam desapercebidos por firewalls por se parecem com pacotes SYN. Por isso, verificações XMAS enviam pacotes com todas as bandeiras, inclusive a FIN, sem esperar resposta, o que significaria que a porta está aberta. O recebimento de uma resposta RST significaria que a porta está fechada. Esse é simplesmente um jeito sorrateiro de saber mais sobre a proteção e o firewall de uma rede, já que isso raramente aparece nos registros.

Como cibercriminosos usam verificação de portas como método de ataque?

De acordo com o Instituto SANS, a verificação de portas é uma das táticas mais usadas por cibercriminosos na procura por pontos vulneráveis em servidores para invasão.

Esses bandidos geralmente usam a verificação de porta como uma etapa preliminar ao ataque a redes. Eles usam a verificação para avaliar os níveis de segurança de várias organizações e determinar quem tem o firewall mais potente e quem pode ter um servidor ou rede mais vulnerável. Na verdade, diversas técnicas de protocolo TCP possibilitam que agressores ocultem a localização da sua rede e usem “tráfego falso” para executar verificações de portas sem revelar ao alvo nenhum endereço de rede.

Eles testam redes e sistemas para verificar a reação de cada porta: aberta, fechada ou filtrada. As respostas “aberta” ou “fechada” mostram aos cibercriminosos que a rede está realmente recebendo a verificação. Esses bandidos podem então descobrir o nível de segurança e o tipo de sistema operacional usado pela empresa. A verificação de porta é uma técnica antiga que exige mudanças de segurança e atualização na inteligência de ameaças, já que protocolos e ferramentas de segurança evoluem diariamente. Alertas de verificações de porta e firewalls são necessários para monitorar o tráfego nas portas de uma rede e garantir que tráfego malicioso não a detecte.