Somos compatíveis com navegadores, não com dinossauros. Atualize o navegador se quiser ver o conteúdo desta página web corretamente.

O que é verificação de porta?

Verificação de porta é um método para determinar quais portas de uma rede estão abertas e podem receber e enviar dados. Esse também é um processo para envio de pacotes a portas específicas em um host e análise de respostas para identificar vulnerabilidades.

O processo de verificação é feito sem a identificação da lista de hosts ativos e seu mapeamento conforme o endereço IP. Essa atividade, chamada de descoberta de host, começa com a verificação de uma rede.

O objetivo por trás da verificação de porta e rede é identificar a organização dos endereços IP, hosts e portas para determinar corretamente as localizações de servidores abertos e vulneráveis, além de diagnosticar seus níveis de segurança. Essas verificações revelam a presença de elementos de segurança, como um firewall entre o servidor e o dispositivo do usuário.

Depois de fazer a verificação completa da rede e de compilar uma lista de hosts ativos, a verificação de porta pode ser feita para identificar portas abertas em uma rede a acesso não autorizado.

É importante perceber que a verificação de rede e de porta podem ser usadas tanto por administradores de TI e cibercriminosos para verificar ou checar as políticas de segurança de uma rede e identificar vulnerabilidades. No caso dos agressores, a ação serve para explorar os pontos de entrada fracos. Na verdade, a descoberta de host na verificação de rede é geralmente a primeira etapa usada por agressores antes da execução de um ataque.
Como ambas as verificações continuam a ser usadas como ferramentas importantes para agressores, os resultados da verificação de rede e de porta podem oferecer indicações importantes dos níveis de segurança para administradores de TI.

O que é verificação de porta?

O que são portas e números de porta?

Portas de computadores são pontos finais do fluxo de informação a partir de um programa ou da internet para um dispositivo ou um outro computador na rede (e vice-versa). É como um estacionamento em que dados são trocados por meio de mecanismos eletrônicos, softwares ou programas especializados.

Números de portas são usados para fins de consistência e programação. O número de uma porta, atrelado a um endereço IP formam a informação vital mantida por todo provedor de internet para completar os pedidos de acesso. Portas vão de zero (0) a 65.535 e são classificadas de acordo com sua popularidade.

Portas de zero a 1.023 são bem conhecidas por serem destinadas ao uso da internet, ainda que possam ter outros propósitos mais específicos. Elas são administradas pela Internet Assigned Numbers Authority (IANA). Essas portas são mantidas por empresas de primeira linha, como os serviços Apple QuickTime, MSN, SQL e outras grandes organizações. Você pode reconhecer algumas das portas mais relevantes e os serviços atribuídos a elas:

  • Porta 20 (UDP) - abriga o File Transfer Protocol (FTP) usado para transferência de dados
  • Porta 22 (TCP) - abriga o protocolo Secure Shell (SSH) para a segurança de logins, FTP e encaminhamento de porta
  • Porta 53 (UDP) - abriga o Domain Name System (DNS), que transforma nomes de domínios em endereços IP
  • Porta 80 (TCP) - abriga o HTTP da rede mundial de computadores

Números de 1.024 a 49.151 são considerados “portas de registros”. Isso quer dizer que elas já foram registradas por empresas de software. As portas de 49.151 até 65.536 são dinâmicas e privadas, podendo ser usadas por quase todo mundo.

Quais são os protocolos usados na verificação de porta?

Os protocolos mais comuns usados para verificação de portas são o TCP (Transmission Control Protocol) e o UDP (User Datagram Protocol). Os dois são métodos de transmissão de dados para a internet, mas contam com mecanismos diferentes.

O TCP é uma transmissão baseada em conexão confiável de dados em duas vias. Ela depende do status do destino para completar um envio corretamente. O UDP funciona sem conexão e não é confiável. Os dados enviados pelo protocolo UDP são entregues independentemente do status do destino, assim não é possível garantir nem mesmo a entrega dos dados corretamente.

O uso desses dois protocolos permite a adoção de muitas técnicas diferentes para executar a verificação de portas.

Quais são as diferentes técnicas de verificação de portas?

Há diversas técnicas para a verificação de portas. Tudo depende do objetivo que se quer atingir. É importante notar que cibercriminosos também escolhem uma técnica específica conforme seu objetivo ou estratégia de ataque.

Abaixo, você encontra uma lista com algumas dessas técnicas e como elas funcionam:

  • Verificação ping: A verificação de porta mais simples é chamada de ping. Em uma rede, um ping é usado para verificar se um pacote de dados pode ser distribuído a um endereço IP sem erros. Verificações de ping são solicitações de protocolo ICMP (Internet Control Message Protocol (Protocolo de Mensagens de Controle de Internet). Eles enviam diversas solicitações ICMP para diferentes servidores para obter uma resposta. Administradores de TI podem usar essa técnica para resolver problemas ou desativar o ping com um firewall, tornando impossível que agressores encontrem a rede por meio de pings.
  • Verificações semi-abertas ou SYN: Uma verificação semi-aberta, ou sincronizada (SYN), é uma tática usada por agressores para determinar o status de uma porta sem estabelecer uma conexão completa. Essa verificação envia uma mensagem SYN e não completa a conexão, deixando o alvo esperando. É uma técnica rápida e silenciosa para descobrir portas potencialmente abertas nos dispositivos alvo.
  • Verificações XMAS: Verificação XMAS são ainda mais imperceptíveis ao firewall. Por exemplo, pacotes FIN são enviados de um servidor ou cliente para encerrar uma conexão depois de estabelecer a conexão TCP com o aperto de mão de três vias (ou three-way handshake) e transferir dados corretamente. Isso é indicado pela mensagem de que “não há mais dados disponíveis do remetente”. Geralmente pacotes FIN passam despercebidos por firewalls. Isso se deve ao fato de que os pacotes SYN são os principais alvos das verificações. Por isso, verificações XMAS enviam pacotes com todas as bandeiras, inclusive a FIN, sem esperar resposta, o que significaria que a porta está aberta. Se a porta estiver fechada, uma resposta RST seria recebida. A verificação XMAS raramente é exibida em registro de monitoração. Essa é uma forma mais sorrateira de descobrir mais informações sobre a proteção e o firewall de uma rede.

Que tipo de resultados uma verificação de porta oferece?

A verificação de porta revela o status da rede ou servidor e pode ser descrito em uma dessas três categorias: aberta, fechada ou filtrada.

  • Portas abertas: Indica que o servidor ou a rede alvo estão aceitando conexões ou datagramas ativamente. A porta responde com um pacote mostrando que ela está ouvindo. Isso também indica que o serviço usado para a verificação (tipicamente um TCP ou UDP) está em uso.
    Tipicamente, a descoberta de portas abertas é o objetivo geral de uma verificação de porta e uma vitória para o cibercriminoso que procura por um ponto de ataque. O desafio dos administradores de TI é proteger essas portas com a instalação de firewalls para protegê-las sem limitar o acesso a usuários legítimos.
  • Portas fechadas: Portas fechadas indicam que o servidor ou a rede receberam o pedido, mas que nenhum serviço na porta está “ouvindo”. Uma porta fechada ainda pode ser acessada e ser útil para mostrar que um host está em um endereço IP. Administradores também precisam monitorar portas fechadas, já que elas podem mudar para um status aberto e potencialmente criar vulnerabilidades. Administradores devem avaliar a necessidade de bloqueá-las com um firewall, transformando-as em portas “filtradas”.
  • Portas filtradas: Portas filtradas indicam que um pacote de pedido foi enviado, mas o host não respondeu e não está ouvindo. Geralmente isso significa que um pacote de pedido foi filtrado e/ou bloqueado por um firewall. Se os pacotes não atingem o alvo, os agressores não podem ter acesso a mais informações. As portas filtradas geralmente respondem com mensagens de erro, como “destino inacessível” ou “comunicação não permitida”.
Que tipo de resultados uma verificação de porta oferece?

Como cibercriminosos usam verificação de portas em ataques?

De acordo com o Instituto SANS, a verificação de portas é uma das táticas mais usadas por cibercriminosos à procura por pontos vulneráveis para invasão de servidores.

Esses bandidos geralmente usam a verificação de porta como uma etapa preliminar ao ataque a redes. Assim, a verificação de porta é usada para avaliar os níveis de segurança de várias organizações e descobrir firewall potentes e servidores ou redes mais vulneráveis. Na verdade, diversas técnicas de protocolo TCP possibilitam que agressores ocultem a localização da sua rede e usem “tráfego falso” para executar verificações de portas sem revelar ao alvo nenhum endereço de rede.

Eles testam redes e sistemas para verificar a reação de cada porta: aberta, fechada ou filtrada.

Por exemplo: as respostas “aberta” ou “fechada” mostram aos cibercriminosos que a rede está realmente recebendo a verificação. Esses criminosos podem então determinar o tipo de operação de um sistema operacional e o seu nível de segurança.

A verificação de porta é uma técnica antiga que exige mudanças de segurança e atualização na inteligência de ameaças, já que protocolos e ferramentas de segurança evoluem diariamente. Como boa prática na abordagem dessa questão, alertas de verificação de porta e firewalls devem ser usados para monitorar o tráfego das suas portas e garantir que agressores maliciosos não detectem potenciais oportunidades para entrada não autorizada na sua rede.