Tipos de escaneo

Half Scan

Este tipo de escaneo consiste en realizar el procedimiento thre-way handshake sin concluir por completo para no crear una conexión. En otras palabras, el emisor envía un SYN para iniciar la conexión, si el receptor envía un SYN+ACK significa que el puerto se encuentra abierto, entonces el emisor envía un RST+ACK para finalizar la conexión, en vez de un ACK que sería lo normal para crear la conexión.

ACK Scan

La finalidad de este escaneo es distinta, no es determinar si un puerto se encuentra abierto o no, si no si un equipo de la red escucha las peticiones a través de un firewall. El emisor envía un paquete con un ACK activo, el receptor debe  responder con un RST esté el puerto abierto o no, si no existe respuesta es que hay un cortafuegos en medio de la comunicación.

Null Scan

Este tipo de escaneo tiene una característica curiosa  es que el paquete que se envía no contiene ningún bit activo. El emisor envía este tipo de paquetes y si el puerto se encuentra abierto no se recibirá nada, si por el contrario el puerto se encuentra cerrado se envía un RST+ACK. Es por ello que normalmente se puede encontrar en otros libros este tipo de escaneo tiene como fin averiguar cuales son los puertos TCP cerrados.

Xmas Scan

Este tipo de escaneo tiene en sus paquetes los bits de control activos. Windows, por defecto, no responde a este tipo de paquetes, pero antiguamente la pila TCP/IP, respondía con un paquete RST+ACK cuando el puerto se encontraba cerrado, mientras que si el puerto se encontraba abierto no se respondía.

FIN Scan

Este tipo de escaneo consiste en la creación de un paquete TCP con el bit de FIN activo. El emisor envía el paquete y si el puerto se encuentra abierto no se obtendrá respuesta, sin embargo, si el puerto se encuentra cerrado se recibirá un RST+ACK. El objetivo o finalidad de este tipo de escaneo es idéntico al null scan y xmas scan, incluso algunos autores los agrupan como escaneos de detección de puertos cerrados.

Idle Scan

Este escaneo es uno de los más complejos y su eficacia depende de la máquina elegida como zombie.
En este escenario habrá al menos 3 máquinas, un es la del atacante, otra será la zombie o intermediaria y la última la víctima. La máquina del atacante debe chequear que el zombie utilice un algoritmo predecible para marcar los paquetes IP. Para averiguar este detalle el emisor o atacante envía varios paquetes con SYN+ACK para iniciar una conexión. El objetivo es obtener RST y chequear que los ID de las respuestas sean sucesibles o predecibles. También se debe verificar que la máquina zombie no esté teniendo tráfico, ya que sino el proceso sería inviable.

Cuando el atacante haya encontrado un máquina zombie que pueda ser utilizada, el atacante enviará paquetes SYN a la máquina víctima haciendo IP Spoofing. Los paquetes enviados desde la máquina atacante, con la dirección IP de la máquina zombie, a la víctima son en realidad un scan normal. La diferencia se encuentra en que las respuestas de la víctima irán destinadas a la máquina zombie, por la suplantación de IP realizada por el atacante.

Cuando la víctima conteste a la petición SYN, devolverá un SYN+ACK si el puerto se encuentra abierto o un RST+ACK si el puerto se encuentra cerrado. Cuando la máquina zombie reciba un SYN+ACK enviará un RST a la máquina víctima. Si la máquina zombie recibe un RST+ACK se declararan como tráfico nulo y se descartará.

Tras esperar un corto periodo de tiempo el atacante preguntará por el ID de los paquetes de la máquina zombie y pueden ocurrir 2 situaciones concretas, en primer lugar el ID se ha incrementado en uno, enconces el puerto en la máquina víctima está abierto, o por el contrario si el ID no se ha incrementado, el puerto se encuentra cerrado.

Nota: Este artículo es un fragmento del libro Metasploit para pentesters de Pablo González Pérez con la colaboración de Chema Alonso.
El motivo de añadir dicho fragmento de texto extraído directamente del libro es porque no he encontrado nada mejor que defina tan bien los tipos de escaneo.
El libro lo puedes adquirir directamente desde la página de informática64.