Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Scansione delle porte

Le scansioni delle porte sono una parte fondamentale della manutenzione della rete, ma possono essere sfruttate dagli hacker per individuare punti vulnerabili. Ecco cosa devi sapere per individuare e bloccare le scansioni delle porte.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è una scansione delle porte?

Una scansione delle porte è una tecnica utilizzata dagli hacker per individuare le vulnerabilità della rete. Sebbene gli strumenti di scansione delle porte abbiano applicazioni utili per la sicurezza della rete — per individuare porte aperte, vulnerabilità o dispositivi non necessari collegati alla rete — gli hacker possono utilizzarli per individuare punti deboli da cui penetrare. Gli hacker possono inoltre utilizzarli per verificare se sono in funzione firewall, VPN, server proxy e altri dispositivi di sicurezza.

Come funziona

Come funziona la tecnica di scansione delle porte

Le scansioni delle porte funzionano inviando pacchetti a un intervallo di porte di rete e analizzando le risposte per determinare quali porte siano aperte, chiuse o filtrate. Queste porte corrispondono a diversi servizi (come HTTP, FTP o SSH) che gli aggressori potrebbero potenzialmente sfruttare se non sono adeguatamente protetti.

Processo di scansione delle porte
Perché gli hacker lo utilizzano

Perché gli hacker utilizzano tecniche di scansione delle porte

Gli hacker ricorrono spesso alle scansioni delle porte nella fase di ricognizione per individuare servizi vulnerabili o sistemi configurati in modo errato. Ad esempio, la ricerca di porte aperte come la 22 (SSH) o la 3389 (RDP) può rivelare la presenza di servizi di gestione accessibili da remoto, che potrebbero diventare bersagli di attacchi.

Una volta che un hacker ha individuato le porte aperte, può concentrare la propria attenzione sulla ricerca di vulnerabilità nei servizi in esecuzione su tali porte. Ad esempio, se gli strumenti di scansione rivelano che un server web è in esecuzione sulla porta 80, gli hacker potrebbero analizzarlo alla ricerca di configurazioni errate, software non aggiornato o credenziali deboli.

Tipi di attacchi di scansione delle porte

Gli hacker utilizzano diversi tipi di tecniche di scansione delle porte, a seconda del livello di discrezione richiesto:

  • Scansione TCP di tipo "connect": questa scansione tenta di completare un handshake a tre fasi per determinare se una porta è aperta. Si tratta dell'attacco di scansione delle porte più facile da individuare, poiché lascia tracce nei registri delle connessioni del sistema. Questa tecnica viene utilizzata quando la scansione SYNC non è praticabile.
  • Scansioni SYN: la scansione SYN, detta anche scansione semi-aperta, è più discreta rispetto alla scansione TCP connect. Lo strumento di scansione delle porte invia un pacchetto per avviare la connessione, ma non completa la procedura di handshake, riducendo così le probabilità di essere individuato. Questo metodo consente di individuare le porte aperte senza stabilire una connessione TCP completa né far scattare allarmi.
  • Scansioni FIN, Xmas e NULL: si tratta di tecniche utilizzate per eludere i firewall o i sistemi di rilevamento delle intrusioni (IDS). Consistono nell'invio di pacchetti con combinazioni di flag insolite per sondare una porta specifica. A seconda del sistema operativo, una porta aperta o chiusa potrebbe reagire in modo diverso, consentendo agli aggressori di mappare la rete in modo discreto.
  • Scansione UDP: poiché il protocollo UDP (User Datagram Protocol) è senza connessione, la scansione consiste nell'inviare un pacchetto UDP a una porta e nell'analizzare la risposta o l'assenza di risposta. Questo tipo di scansione è più lento e più difficile da eseguire rispetto alle scansioni TCP, poiché le risposte UDP sono meno prevedibili e molti servizi non rispondono a meno che la richiesta non sia formulata correttamente.
  • Scansioni FTP con rimbalzo: questa tecnica utilizza un server FTP per far rimbalzare un pacchetto e nascondere la posizione del mittente, consentendo all'autore dell'attacco di passare inosservato.
  • Scansioni ping: in questo tipo di attacco, gli hacker utilizzano un comando ping per verificare con quanta facilità un pacchetto di dati di rete riesca a raggiungere un indirizzo IP.

Di seguito è riportata una tabella che riassume le varie tecniche di scansione delle porte e il loro livello di discrezione:

Tecnica di scansione Scopo Livello di occultamento
Scansione delle connessioni TCP Tenta di stabilire una connessione TCP completa con la porta di destinazione per verificare se è aperta. Basso (facilmente rilevabile)
Scansione TCP SYN (scansione half-open) Invia pacchetti SYN per individuare le porte aperte senza completare la procedura di handshake TCP. Medio (meno rilevabile)
Scansione UDP Invia pacchetti UDP per individuare le porte UDP aperte sul sistema di destinazione. Basso (può risultare inaffidabile e rilevabile)
FIN, Natale e scansioni nulle Invia pacchetti con combinazioni di flag insolite per aggirare i firewall e individuare le porte aperte. Alto (invisibile)
Scansione Ping Invia richieste ICMP Echo per individuare gli host attivi su una rete. Basso (facilmente rilevabile)
Scansione della versione Servizi di analisi per determinare le versioni dei software e individuare le vulnerabilità. Da basso a medio
Scansione inattiva Utilizza un host "zombie" per eseguire scansioni, nascondendo l'indirizzo IP dell'autore dell'attacco. Molto alto (estrema discrezione)

Perché la scansione delle porte è così allettante per gli hacker

  • Non invasive e invisibili: alcune tecniche di scansione sono progettate per eludere il rilevamento da parte di firewall e sistemi IDS.
  • Bassa barriera all'ingresso: sono disponibili numerosi strumenti e script gratuiti, che rendono la scansione delle porte accessibile agli aggressori con diversi livelli di competenza.
  • Indispensabile per pianificare gli attacchi: fornisce le informazioni fondamentali necessarie per elaborare strategie di attacco efficaci.
  • Anonimato: tecniche come l'idle scan aiutano gli hacker a mantenere l'anonimato.
Rilevamenti della piattaforma

Come individuare le scansioni delle porte

Un modo in cui i team di sicurezza informatica possono prevenire gli attacchi di scansione delle porte è quello di eseguire regolarmente essi stessi delle scansioni delle porte. Ciò consente di identificare i potenziali sistemi bersaglio attualmente esposti, permettendo di chiudere le porte non necessarie e di correggere le vulnerabilità. Anche un firewall efficace è essenziale per impedire accessi non autorizzati.

Tuttavia, è importante non fermarsi qui. Sebbene ridurre la propria esposizione sia fondamentale, è necessario disporre di uno strumento in grado di rilevare quando i servizi interni sono sotto attacco. Ad esempio, la funzione di rilevamento delle scansioni di porte sospette Vectra AIè progettata specificamente per avvisare gli amministratori di sicurezza quando un aggressore sta tentando attivamente di stabilire connessioni su una o più porte di uno o più indirizzi IP.

Rilevamento
Scansione sospetta delle porte
Per saperne di più
Rilevamento
Scansione delle porte in uscita
Per saperne di più
Rilevamento
Scansione delle porte sospette
Per saperne di più
Rilevamento
Analisi degli account delle PMI
Per saperne di più
Rilevamento
Scansione interna della darknet
Per saperne di più
Rilevamento
Analisi degli account Kerberos
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

Vectra AI potenti meccanismi di rilevamento basati sull'intelligenza artificiale, tra cui quelli per la scansione delle porte, per monitorare costantemente il traffico di rete e identificare gli attacchi nelle prime fasi del loro sviluppo. Nel loro insieme, questi meccanismi di rilevamento coprono il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

Domande frequenti