La scansione idle consiste nello sfruttare un host idle(inattivo) per sondare un sistema bersaglio utilizzando pacchetti camuffati .L'aggressore per prima cosa dovrà individuare un host che non stia inviando o ricevendo pacchetti, e che abbia un' implementazione TCP tale da produrre identificativi IP(IP ID) che variano con incremento noto per ciascun pacchetto.Gli identificativi IP sono solitamente incrementati di 1 o 254 unità,quindi una volta che l'aggressore acquisisce l' identificativo IP dell' host corrente, lo contatta con un pacchetto SYN osservando l'IP ID della risposta.Ripetendo 2 volte questo procedimento è possibile dedurre la variazione dell' incremento dell' IP ID per ogni pacchetto.La fase successiva dell' attacco consiste nell' invio di un pacchetto SYN camuffato con l'indirizzo dell' host idle ad una porta del sistema bersaglio.Ora possono accadere due cose:
1)Se la porta è in ascolto , il sistema bersaglio invierà un pacchetto SYN/ACK all' host idle, quest'ultimo visto che non ha inviato lui il pacchetto SYN risponderà con un pacchetto RST.
Ora l' aggressore contatta nuovamente l' host idle, se il valore dell' IP ID è stato incrementato di una sola unità vuol dire che il sistema bersaglio ha risposto alla sollecitazione con un pacchetto RST e quindi la porta in esame è chiusa.Mentre se l' incremento dell' IP ID è stato di due unità vuol dire che la porta in esame sul sistema bersaglio è aperta,se questa tecnica è utilizzata in modo appropriato l'aggressore può scandire qualsiasi obiettivo senza mai rivelare il proprio IP.
Nessun commento:
Posta un commento