Mientras leía acerca de la herramienta NScan, encontré el método connect (). Este artículo sobre el NScan dice
NScan en sí mismo es un escáner de puertos, que utiliza el método connect () para encontrar la lista de puertos abiertos del host.
Entonces,
¿Qué es este método connect ()? ¿Este método se utiliza solo en NScan o también en otros escáneres de puertos?
Una exploración de conexión () generalmente se refiere a una exploración de red que realiza un completo protocolo de enlace de tres vías TCP (SYN, SYN / ACK, ACK) para determinar si un puerto está abierto o no. Una vez que esos tres paquetes han sido transmitidos por los respectivos hosts, hay una conexión abierta y lista para pasar el tráfico. Luego, el escáner cerrará la conexión con un RST o FIN, o posiblemente podría dejar de usarlo y, finalmente, el servidor lo cerrará y recuperará los recursos.
Hay muchas alternativas, la más común es una exploración SYN: el escáner envía una SYN y espera una SYN / ACK. Si lo ve, concluye que el puerto está abierto, aunque no haya abierto completamente una conexión . El escáner no envía un ACK para completar la conexión, y la pila TCP del servidor cerrará la conexión naciente en respuesta a un RST o después de los tiempos de espera (mucho más cortos) (que se utilizan para conexiones abiertas) .
Los escaneosconnect () son generalmente más fáciles de detectar, porque las aplicaciones a menudo registran conexiones completamente abiertas y cerradas, especialmente las conexiones que se cierran en TCP en lugar de en la capa de aplicación (por ejemplo, se quejarán de que "IP abcd DIDN'T DECIR ADIÓS"). Esto facilita la detección de un escaneo de conexión (). Además, debido a que los recursos del sistema operativo están dedicados a conexiones completamente abiertas, es posible gravar los recursos en un host mediante el bloqueo de un montón de conexiones y luego no usarlas, por ejemplo, el método de "tiempo de espera" es particularmente grosero.
La razón por la que uno podría usar un escaneo connect () (-sT en nmap) es que es más confiable. Nada dice "un host hablará en este puerto" como si estuviera preparado para el host y dispuesto a hablar en ese puerto. Algunos otros modos de escaneo pueden tener falsos positivos. Ha habido ocasiones en las que volví a escanear puertos individuales que parecían abiertos a los escaneos SYN y no podía verificar que el puerto estaba abierto con escaneos en modo connect ().
(N.B. TODOS los modos de escaneo pueden tener falsos positivos. Como a mi terapeuta le gusta decir: "No creas todo lo que piensas")
Lea otras preguntas en las etiquetas network-scanners