Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Scansione delle porte

Le scansioni delle porte sono una parte essenziale della manutenzione della rete, ma possono essere utilizzate dagli hacker per trovare porte aperte. Ecco cosa è necessario sapere per rilevare e bloccare le scansioni delle porte.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è una scansione delle porte?

Una scansione delle porte è una tecnica utilizzata dagli hacker per identificare le vulnerabilità della tua rete. Sebbene gli scanner delle porte abbiano applicazioni preziose per la sicurezza della rete, come rivelare porte aperte, vulnerabilità o dispositivi non necessari collegati alla rete, gli hacker possono utilizzarli per trovare punti deboli da cui entrare. Gli hacker possono anche utilizzarli per verificare se stai utilizzando firewall, VPN, server proxy e altri dispositivi di sicurezza.

Come funziona

Come funziona la tecnica della scansione delle porte

Le scansioni delle porte funzionano inviando pacchetti a una serie di porte di rete e analizzando le risposte per determinare quali porte sono aperte, chiuse o filtrate. Queste porte corrispondono a diversi servizi (come HTTP, FTP o SSH) che gli aggressori potrebbero potenzialmente sfruttare se non sono adeguatamente protetti.

Processo di scansione delle porte
Perché gli aggressori lo utilizzano

Perché gli hacker utilizzano tecniche di scansione delle porte

Gli aggressori spesso utilizzano le scansioni delle porte nella fase di ricognizione per identificare servizi vulnerabili o sistemi configurati in modo errato. Ad esempio, la scansione di porte aperte come la 22 (SSH) o la 3389 (RDP) può rivelare servizi di gestione accessibili da remoto che potrebbero diventare bersagli di attacchi.

Una volta individuate le porte aperte, gli hacker possono concentrare la loro attenzione sulla ricerca di vulnerabilità nei servizi in esecuzione su tali porte. Ad esempio, se gli strumenti di scansione rivelano che un server web è in esecuzione sulla porta 80, gli hacker potrebbero cercare eventuali configurazioni errate, software non aggiornati o credenziali deboli.

Tipi di attacchi di scansione delle porte

Gli aggressori utilizzano diversi tipi di tecniche di scansione delle porte, a seconda del livello di occultamento richiesto:

  • Scansione TCP connect: questa scansione tenta di completare un handshake a tre vie per determinare se una porta è aperta. È l'attacco di scansione delle porte più facile da rilevare, poiché lascia tracce nei registri delle connessioni del sistema. Questa tecnica viene utilizzata quando la scansione SYNC non è un'opzione praticabile.
  • Scansioni SYN: la scansione SYN, o scansione semi-aperta, è più furtiva rispetto alla scansione TCP connect. Lo strumento di scansione delle porte invia un pacchetto per avviare la connessione, ma non completa l'handshake, riducendo così le possibilità di rilevamento. Questo metodo rivela le porte aperte senza stabilire una connessione TCP completa o segnalare allarmi.
  • Scansioni FIN, Xmas e NULL: sono tecniche utilizzate per eludere i firewall o i sistemi di rilevamento delle intrusioni (IDS). Consistono nell'invio di pacchetti con combinazioni di flag insolite per sondare una porta specifica. A seconda del sistema operativo, una porta aperta o chiusa potrebbe reagire in modo diverso, consentendo agli aggressori di mappare sottilmente la rete.
  • Scansione UDP: poiché il protocollo UDP (User Datagram Protocol) è senza connessione, la scansione comporta l'invio di un pacchetto UDP a una porta e l'analisi della risposta o della sua assenza. Questo tipo di scansione è più lento e difficile da eseguire rispetto alle scansioni TCP perché le risposte UDP sono meno prevedibili e molti servizi non rispondono a meno che la richiesta non sia formata correttamente.
  • Scansioni FTP bounce: questa tattica utilizza un server FTP per rimbalzare un pacchetto e nascondere la posizione del mittente, consentendo all'autore dell'attacco di non essere individuato.
  • Scansioni Ping: in questo tipo di attacco, gli hacker utilizzano un ping per verificare con quanta facilità un pacchetto di dati di rete può raggiungere un indirizzo IP.

Ecco una tabella che riassume le varie tecniche di scansione delle porte e il loro livello di invisibilità:

Tecnica di scansione Scopo Livello di furtività
Scansione connessioni TCP Tenta di stabilire una connessione TCP completa con la porta di destinazione per verificare se è aperta. Basso (facilmente rilevabile)
Scansione TCP SYN (scansione semi-aperta) Invia pacchetti SYN per determinare le porte aperte senza completare l'handshake TCP. Medio (meno rilevabile)
Scansione UDP Invia pacchetti UDP per trovare porte UDP aperte sul sistema di destinazione. Basso (può essere inaffidabile e rilevabile)
FIN, Xmas e scansioni nulle Invia pacchetti con combinazioni di flag insolite per aggirare i firewall e rilevare le porte aperte. Alto (furtivo)
Ping Sweep Invia richieste ICMP Echo per individuare gli host attivi su una rete. Basso (facilmente rilevabile)
Scansione versione Servizi di sondaggio per determinare le versioni software e identificare le vulnerabilità. Da basso a medio
Scansione inattiva Utilizza un host "zombie" per eseguire scansioni, nascondendo l'indirizzo IP dell'autore dell'attacco. Molto alto (estremamente furtivo)

Perché la scansione delle porte è interessante per gli hacker

  • Non invasivo e invisibile: alcune tecniche di scansione sono progettate per evitare il rilevamento da parte di firewall e IDS.
  • Bassa barriera all'ingresso: sono disponibili numerosi strumenti e script gratuiti che rendono la scansione delle porte accessibile agli aggressori con diversi livelli di competenza.
  • Essenziale per pianificare gli attacchi: fornisce informazioni fondamentali necessarie per elaborare strategie di attacco efficaci.
  • Anonimato: tecniche come la scansione inattiva aiutano gli aggressori a rimanere anonimi.
Rilevamenti della piattaforma

Come rilevare le scansioni delle porte

Un modo in cui i team di sicurezza informatica possono prevenire gli attacchi di scansione delle porte è eseguire regolarmente essi stessi delle scansioni delle porte. Ciò consente di identificare i potenziali sistemi bersaglio attualmente esposti, permettendo di chiudere le porte non necessarie e correggere le vulnerabilità. Anche un firewall potente è essenziale per prevenire accessi non autorizzati.

Tuttavia, è importante non fermarsi qui. Sebbene ridurre l'esposizione sia fondamentale, è necessario disporre di un modo per rilevare quando i servizi interni sono sotto attacco. Ad esempio, il rilevamento delle scansioni delle porte sospette Vectra AIè progettato specificamente per avvisare i difensori quando un aggressore sta tentando attivamente di stabilire connessioni di porta su uno o più indirizzi IP.

Rilevamento
Scansione sospetta delle porte
Per saperne di più
Rilevamento
Scansione delle porte in uscita
Per saperne di più
Rilevamento
Operazione di controllo dei porti sospetti
Per saperne di più
Rilevamento
Scansione account SMB
Per saperne di più
Rilevamento
Scansione interna della Darknet
Per saperne di più
Rilevamento
Scansione account Kerberos
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

Vectra AI potenti rilevamenti basati sull'intelligenza artificiale, compresi quelli per la scansione delle porte, per monitorare continuamente il traffico di rete e identificare gli attacchi nelle prime fasi della loro progressione. Insieme, questi rilevamenti coprono il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti