Co to jest skanowanie w stanie bezczynności?
Skanowanie w stanie bezczynności, znane również jako skanowanie zombie, jest wykorzystywane przez hakerów do skanowania portów protokołu kontroli transmisji (TCP) w celu zmapowania systemu ofiary i znalezienia jej słabych punktów. Ten atak jest jedną z bardziej wyrafinowanych technik hakerów, ponieważ haker nie jest identyfikowany przez jego prawdziwy komputer, ale przez kontrolowany komputer zombie, który maskuje cyfrową lokalizację hakera. Większość administratorów po prostu blokuje adres protokołu internetowego (IP) hakera, ale ponieważ ten adres należy do komputera zombie, a nie do prawdziwego komputera hakera, nie rozwiązuje to problemu. Po wykonaniu bezczynnego skanowania, skanowanie pokaże, że port jest otwarty, zamknięty lub zablokowany, a haker będzie wiedział od czego zacząć atak.
Atak bezczynnego skanowania rozpoczyna się od przejęcia kontroli nad komputerem zombie przez hakera. Komputer zombie może należeć do zwykłego użytkownika, który może nie mieć pojęcia, że jego komputer jest wykorzystywany do złośliwych ataków. Haker nie używa własnego komputera do skanowania, więc ofiara będzie mogła zablokować tylko zombie, a nie hakera.
Po przejęciu kontroli nad zombie haker wkradnie się do systemu ofiary i przeskanuje wszystkie porty TCP. Porty te służą do przyjmowania połączeń z innych komputerów i są potrzebne do wykonywania podstawowych funkcji komputera. Gdy haker wykona skanowanie w trybie bezczynności, port powróci jako jedna z trzech kategorii. Otwarte porty akceptują połączenia, zamknięte porty to te, które odmawiają połączeń, a zablokowane porty nie dają odpowiedzi.
Otwarte porty są tymi, których szukają hakerzy, ale zamknięte porty mogą być również używane do niektórych ataków. Przy otwartym porcie występują luki w zabezpieczeniach programu powiązanego z tym portem. Porty zamknięte i porty otwarte są podatne na ataki z systemem operacyjnym (OS). Sam skan jałowy rzadko inicjuje atak; pokazuje tylko hakerowi, gdzie może rozpocząć atak.
Aby administrator mógł bronić swojego serwera lub strony internetowej, administrator musi pracować z zaporami ogniowymi i filtrami wejściowymi. Administrator powinien sprawdzić, czy zapora ogniowa nie tworzy przewidywalnych sekwencji IP, co ułatwi hakerowi wykonanie bezczynnego skanowania. Filtry Ingress należy ustawić tak, aby odrzucały wszystkie pakiety zewnętrzne, szczególnie te, które mają ten sam adres co sieć wewnętrzna systemu.