Análise de SYN SCAN com a ferramenta Wireshark
Hoje vamos falar sobre aspectos de segurança de redes e principalmente sobre a técnica de varredura de portas em servidores e equipamentos de redes, com o objetivo de descobrir possíveis portas abertas que podem ser exploradas com o objetivo de realização de ataques e como com o uso do software Wireshark podemos analisar as respostas obtidas através do processo de scaneamento de portas.
O scan tcp syn utiliza o processo de three-way handshake do TCP para determinar quais portas estão abertas em um equipamento de rede. O atacante envia um pacote tcp syn para um grande intervalo de portas do computador da vítima, enquanto tenta estabelecer um canal para comunicação normal de portas.
Uma vez que o computador da vítima tenha recebido o pacote de TCP syn do atacante o computador da vítima responderá com o pacote TCP syn/ack que é a segunda etapa do estabelecimento de conexão TCP.
No entanto, as respostas tcp syn/ack enviadas pela vitima não serão respondidas pelo atacante. Supondo que o scan esteja sendo feito na porta 53 TCP e que a porta esteja aberta na vitima e se colocarmos um filtro tcp.port==53 no campo filter do Wireshark teremos o resultado apresentado na figura 1, em que um pacote TCP syn scan na porta 53 TCP emitido pelo atacante recebe como resposta 3 pacotes TCP syn/ack da vítima e que não são respondidos pelo atacante, pois o objetivo foi atingido que seria descobrir que a porta TCP 53 está aberta no computador da vítima.
A segunda situação que poderá ocorrer em um scan de portas TCP é a situação em que a porta TCP pesquisada está fechada na vítima. Na figura 2 temos uma coleta de dados realizada com o Wireshark em que foi aplicado o filtro tcp.port==113 em que podemos identificar que na situação em que a vítima possui a porta fechada é enviado automaticamente um pacote TCP rst/ack a qualquer solicitação de conexão na porta TCP solicitada.
A terceira situação que pode acontecer em uma atividade de syn scan é a em que a vítima efetua filtragem de portas para identificação de possíveis atacantes e por este motivo não responde as solicitações de scan de portas que estão fechadas.
Na figura abaixo podemos verificar por meio da aplicação do filtro tcp.port==443 que existem dois pacotes TCP syn enviados mas que não obtiveram resposta devido a filtragem que é realizada no computador da vítima.
Uma ferramenta muita utilizada e disponível na internet para efetuar scan de portas é o software NMAP que pode ser obtido em http://nmap.org.
Resumo:
Com este artigo analisamos o comportamento do mecanismo de syn scan e como podemos identificá-lo com o uso do software Wireshark, agora é preciso configurar as ferramentas de segurança de redes para garantir o funcionamento adequado da rede e evitar que pessoas mal intencionadas explorem vulnerabilidades existentes nos equipamentos e servidores.
Um grande abraço e até o próximo post!!!!!
Mario Marques - Mestre em Engenharia da Computação pelo IPT/USP, tendo atuado como professor em renomadas faculdades e universidades de São Paulo. Trabalha há mais de 24 anos na Caixa Econômica Federal, onde fez carreira na área de Telecom e Redes. É instrutor da CloudCampus para os cursos Wireshark e Gerenciamento de Redes.