¿Algunos puertos TCP poco comunes se escanean menos que otros?

19
  • Ignorando el 5-10% superior de los números de puerto para los servicios comunes a los que suelen dirigirse los escáneres de puertos (es decir, puertos 22-ssh, 23-telnet, 80-http, 139-smb / cifs, 443-https, 3389 -rdp, etc.), ¿se escanean de forma estadística aleatoria los saldos de los números de puerto?

    En otras palabras, para una IP aleatoria (es decir, la IP de alguien que no es el objetivo de un ataque dirigido) ¿hay puertos o rangos de puertos que sean más o menos probables?

  • ¿Hay honeypots que realicen un seguimiento de las estadísticas sobre escaneos de puertos de direcciones IP aleatorias?

pregunta Brian M. Hunt 29.07.2011 - 16:47
fuente

6 respuestas

17

Definitivamente. Consulte enlace para obtener una lista de puertos y las posibilidades esperadas de que estén abiertos.

Nmap ofrece dos opciones relacionadas con eso:

--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>

Otros métodos incluyen puertos < 1024, enumerados en un archivo / etc / services, etc. "De manera predeterminada, Nmap escanea los 1000 puertos más comunes para cada protocolo". Considero que nmap es la herramienta predeterminada, pero por supuesto hay otros que son lo suficientemente comunes.

Supongo que los puertos de números altos (49152–65535 ... la lista no registrada) son los menos probables de escanear. Consulte también enlace

En ningún caso puedo imaginar que, además de generar estadísticas, el análisis estadístico aleatorio sería útil en comparación con el análisis de proporción determinística, y nunca he oído hablar de nada que haga eso.

Para algunas estadísticas del lado de la olla de miel, hay documentos ahí fuera. enlace es un ejemplo de uno.

    
respondido por el Jeff Ferland 29.07.2011 - 17:12
fuente
16

La forma en que los atacantes manejan los portscans es dirigirse primero a aquellos con exploits conocidos o protección débil en general.

La lista en enlace es una lista típica.

Claro, obtienes algunos escáneres que van por todo el rango de puertos, pero como eso es mucho menos efectivo, esta lista será una buena indicación de los puertos más escaneados.

    
respondido por el Rory Alsop 29.07.2011 - 16:55
fuente
10

Además de la respuesta de @RoryAlsop, el proyecto NMAP mantiene una lista de puertos junto con la posibilidad de que se encuentre abierto aquí ,

    
respondido por el Rоry McCune 29.07.2011 - 17:05
fuente
5
El Informe de puerto de DShield puede tener la información que está buscando. DShield recopila registros de firewall de voluntarios y luego proporciona datos resumidos de los registros a la comunidad.

    
respondido por el Jay Hofacker 30.07.2011 - 00:18
fuente
2
  

¿Se escanea el saldo de los números de puerto de forma estadísticamente aleatoria?

No, si un escaneo continúa más allá de la etapa de "servicios conocidos", entonces simplemente está escaneando los rangos de puertos especificados por el usuario. El usuario puede especificar rangos de puertos "aleatorios" - "Revisemos 10,000 - 12,000 y 27,000 - 29,000" - pero eso no es estadísticamente aleatorio, es un par de bloques arbitrarios elegidos por el usuario.

El tipo de exploración que se está preguntando, una distribución estadísticamente aleatoria de puertos individuales en todo el espacio, es matemáticamente improbable que sea mejor que una exploración de fuerza bruta de todos los puertos, y es probable que sea peor en la tasa de aciertos ( aunque más rápido, ja ja). Según mi conocimiento y experiencia, ninguna herramienta implementa una configuración de "escaneo aleatorio".

    
respondido por el gowenfawr 29.07.2011 - 17:25
fuente
2

La seguridad es a menudo un juego del gato y el ratón. Es probable que algunas personas inteligentes coloquen su propio servicio privado importante en un puerto que rara vez se escanea. Por lo tanto, se puede esperar que algunos escáneres inteligentes que persiguen lo que sea que las personas inteligentes están escondiendo, vean preferentemente los puertos que los demás rara vez escanean.

    
respondido por el nealmcb 29.07.2011 - 21:52
fuente

Lea otras preguntas en las etiquetas