Co je to nečinné skenování?
Hackeři využívají nečinné skenování, známé také jako skenování zombie, pro skenování portů protokolu řízení přenosu (TCP) ve snaze zmapovat systém oběti a zjistit její zranitelnosti. Tento útok je jednou ze sofistikovanějších technik hackerů, protože hacker není identifikován prostřednictvím svého skutečného počítače, ale prostřednictvím kontrolovaného zombie počítače, který maskuje digitální umístění hackera. Většina správců pouze blokuje adresu internetového protokolu (IP) hackera, ale protože tato adresa patří do zombie počítače a ne do skutečného počítače hackera, problém se tím nevyřeší. Po provedení nečinného prohledávání se ukáže, že port je otevřený, uzavřený nebo blokovaný a hacker bude vědět, kde zahájit útok.
Útok nečinného skenování začíná tím, že hacker převezme kontrolu nad zombie počítačem. Počítač zombie může patřit běžnému uživateli a tento uživatel nemusí mít tušení, že jeho počítač je používán pro škodlivé útoky. Hacker nepoužívá ke skenování svůj vlastní počítač, takže oběť bude moci zabít pouze zombie, nikoli hackera.
Po převzetí kontroly nad zombie se hacker proklouzne do systému oběti a prohledá všechny porty TCP. Tyto porty se používají k přijímání připojení z jiných počítačů a jsou nezbytné pro provádění základních počítačových funkcí. Když hacker provede nečinné skenování, port se vrátí jako jedna ze tří kategorií. Otevřené porty přijímají připojení, uzavřené porty jsou ty, které odmítají připojení, a blokované porty neodpovídají.
Hackeři hledají otevřené porty, ale pro některé útoky lze použít i uzavřené porty. S otevřeným portem jsou chyby spojené s programem spojeným s portem. Uzavřené porty a otevřené porty vykazují zranitelnost v operačním systému (OS). Samotné skenování nečinnosti útok zřídka iniciuje; pouze ukazuje hackerovi, kde může zahájit útok.
Aby administrátor bránil svůj server nebo web, musí pracovat s firewally a filtry ingress. Správce by měl zkontrolovat, zda firewall nevytváří předvídatelné IP sekvence, což hackerovi usnadní provádění nečinného prověřování. Filtry vstupu by měly být nastaveny tak, aby zakazovaly všechny vnější pakety, zejména pak ty, které mají stejnou adresu jako interní síť systému.