Qu'est-ce qu'un scan au ralenti?
Une analyse inactive, également appelée analyse zombie, est utilisée par les pirates informatiques pour analyser les ports TCP (Transmission Control Protocol) afin de mapper le système de la victime et de déterminer ses vulnérabilités. Cette attaque est l’une des techniques de piratage les plus sophistiquées, car le pirate n’est pas identifié par son ordinateur réel mais par un ordinateur zombie contrôlé qui masque l’emplacement numérique du pirate. La plupart des administrateurs ne font que bloquer l'adresse IP (Internet Protocol) du pirate mais, comme cette adresse appartient à l'ordinateur zombie et non à l'ordinateur réel du pirate, cela ne résout pas le problème. Après avoir effectué l'analyse inactive, l'analyse indiquera qu'un port est ouvert, fermé ou bloqué, et le pirate informatique saura où lancer une attaque.
Une attaque d'analyse en veille commence par le piratage prenant le contrôle d'un ordinateur zombie. Un ordinateur zombie peut appartenir à un utilisateur régulier et cet utilisateur peut ne pas avoir la moindre idée que son ordinateur est utilisé pour des attaques malveillantes. Le pirate informatique n'utilise pas son propre ordinateur pour effectuer l'analyse, de sorte que la victime ne pourra bloquer que le zombie, pas le pirate informatique.
Après avoir pris le contrôle d’un zombie, le pirate s’infiltrera dans le système de la victime et analysera tous les ports TCP. Ces ports sont utilisés pour accepter les connexions d'autres machines et sont nécessaires pour exécuter les fonctions informatiques de base. Lorsque le pirate informatique effectue une analyse inactive, le port redevient une des trois catégories. Les ports ouverts acceptent les connexions, les ports fermés refusant les connexions et les ports bloqués ne donnant pas de réponse.
Les ports ouverts sont ceux que les pirates recherchent, mais des ports fermés peuvent également être utilisés pour certaines attaques. Avec un port ouvert, le programme associé au port présente des vulnérabilités. Les ports fermés et ouverts montrent une vulnérabilité avec le système d'exploitation. Le scan en attente déclenche rarement l'attaque. il indique simplement au pirate informatique où il peut lancer une attaque.
Pour qu'un administrateur puisse défendre son serveur ou son site Web, il doit utiliser des pare-feu et des filtres d'entrée. L’administrateur doit vérifier que le pare-feu ne génère pas de séquences IP prévisibles, ce qui facilitera l’analyse par le pirate informatique. Les filtres d'entrée doivent être configurés pour refuser tous les paquets extérieurs, en particulier ceux qui ont la même adresse que le réseau interne du système.