|
|
|
Scanning TCP:
par machine et par port int�ressant, on envoie des paquets de test
(��probes��). Le comportement de la machine distante � ces paquets
de test d�terminent si le port est ouvert ou non.
|
|
-connect: �tablissement complet d�une connexion
(nom venant de la primitive socket connect()). Scan tr�s visible, connexion
�ventuellement effectu�e donc service contact�. Logs au niveau firewall et
service
|
|
-Syn Scan: r�alisation partielle du
3-way-handshake de TCP: envoi d�un paquet SYN seulement, attente d�une
r�ponse SYN+ACK ou RST. Service non contact�, donc pas de log au niveau du
service lui-m�me, potentiellement log au niveau FW et IDS.
|
|
-FIN/Null/XMAS: combinaison de flags
FIN/URG/PUSH, ce scan est conditionn� par le fait que la stack TCP de la
machine distante doit se comporter exactement comme d�fini dans le RFC793,
pas le cas pour Windows, BSDI, IRIX, IOS. FIN scan tr�s difficile � d�tecter
par un IDS car pour d�terminer que le FIN est invalide, il doit garder une
table de toutes les connexions actives.
|
|
-FTP Bounce scan: utilise la particularit� du
protocole FTP, mode actif: la connexion de donn�es est effectu�e du serveur
vers le client, le client pr�cisant l�IP et le port o� il souhaite que le
serveur se connecte. On envoie donc l�adresse de la victime, et le num�ro du
port � scanner, la r�ponse du serveur FTP d�terminera si le port est ouvert.
|
|
|
|
Scan UDP: le
protocole UDP est non connect�, le scan se fait donc en envoyant un paquet de
test sur le port � v�rifier. La stack IP distante r�pond par un paquet ICMP
Port Unreach si le port est ferm�, sinon le port est consid�r� ouvert. Le
scan UDP est peu fiable car certains OS limitent le nombre de paquets ICMP
envoy�s en r�ponse. De plus, ICMP ne doit pas �tre filtr�
|
|
|
|
|