¿Es posible detectar escaneos de puertos en OSX a nivel del kernel? Me gustaría escribir un kext que detecte las direcciones IP de los sistemas que analizan los puertos de mis computadoras.
¿Cómo funciona exactamente un escaneo oculto? ¿No se le notifica al kernel cuando se accede a un puerto desde afuera?
Un escaneo oculto, como suele llamarse, es una conexión TCP semiabierta. En lugar de:
SYN - >
< - SYN / ACK
ACK - >
va
SYN - >
< - SYN / ACK
RST - >
Solo se conoce como sigilo porque muchas aplicaciones registran una conexión en su puerto de escucha. Como esta exploración nunca completa la conexión TCP, no se realiza ninguna entrada de registro. No es indetectable de ninguna manera. La pila de red en el kernel seguirá recibiendo una notificación sobre la conexión, solo la aplicación que escucha en el puerto no.
Hay más información disponible aquí