Che cos'è una scansione inattiva?
Una scansione inattiva, nota anche come scansione di zombi, viene utilizzata dagli hacker per scansionare le porte del protocollo di controllo della trasmissione (TCP) nel tentativo di mappare il sistema della vittima e scoprire le sue vulnerabilità. Questo attacco è una delle tecniche di hacker più sofisticate, perché l'hacker non viene identificato attraverso il suo vero computer ma attraverso un computer zombi controllato che maschera la posizione digitale dell'hacker. La maggior parte degli amministratori blocca semplicemente l'indirizzo IP (Internet Protocol) dell'hacker ma, poiché questo indirizzo appartiene al computer zombi e non al vero computer dell'hacker, questo non risolve il problema. Dopo aver eseguito la scansione inattiva, la scansione mostrerà che una porta è aperta, chiusa o bloccata e l'hacker saprà dove iniziare un attacco.
Un attacco di scansione inattiva inizia con l'hacker che prende il controllo di un computer zombi. Un computer zombi può appartenere a un utente normale e quell'utente potrebbe non avere idea che il suo computer venga utilizzato per attacchi dannosi. L'hacker non sta usando il proprio computer per eseguire la scansione, quindi la vittima sarà solo in grado di bloccare lo zombi, non l'hacker.
Dopo aver preso il controllo di uno zombi, l'hacker si intrufolerà nel sistema della vittima e scansionerà tutte le porte TCP. Queste porte vengono utilizzate per accettare connessioni da altre macchine e sono necessarie per eseguire le funzioni di base del computer. Quando l'hacker esegue una scansione inattiva, la porta tornerà come una delle tre categorie. Le porte aperte accettano connessioni, le porte chiuse negano le connessioni e le porte bloccate non rispondono.
Le porte aperte sono quelle che gli hacker cercano, ma anche alcune porte chiuse possono essere utilizzate per alcuni attacchi. Con una porta aperta, ci sono vulnerabilità con il programma associato alla porta. Le porte chiuse e le porte aperte mostrano vulnerabilità con il sistema operativo (SO). La scansione inattiva stessa raramente avvia l'attacco; mostra solo all'hacker dove può iniziare un attacco.
Affinché un amministratore possa difendere il proprio server o sito Web, l'amministratore deve lavorare con firewall e filtri di ingresso. L'amministratore dovrebbe verificare per assicurarsi che il firewall non produca sequenze IP prevedibili, il che renderà più facile per l'hacker eseguire la scansione inattiva. I filtri di ingresso devono essere impostati in modo da negare tutti i pacchetti esterni, in particolare quelli che hanno lo stesso indirizzo della rete interna del sistema.