Beberapa Jenis port scanning yang biasanya dilakukan intruder untuk mencari opened port

Berikut tipe – tipe attack yang biasa dilakukan attacker/intruder untuk mencari opened port pada host.

TCP Connect SCAN
biasanya digunakan intruder untuk mendeteksi port-port mana yang terbuka atau tertutup di PC target. Ketika intruder mengirim SYN ke komputer target, dan menerima balasan berupa Reset (RST) dan Acknowledgment (ACK) flags set, itu berarti port ditutup. Kalau intruder menerima SYN/ACK dari komputer target, berarti port tersebut dibuka. Lalu intruder biasnaya merespon dengan ACK untuk melengkapi koneksi dilanjutkan dengan lalu RST/ACK untuk menutup koneksi. Tapi tipe scan seperti ini mudah terdeteksi karena setiap attempt untuk koneksi ke port tercatat kedalam log.
Gambar disamping memperlihatkan intruder dengan IP 192.168.0.9 mengirim paket SYN ke target, 192.168.0.99. Target membalas SYN/ACK, dilanjutkan dengan ACK diikuti dengan RST/ACK untuk pertukaran port domain name system (DNS). Selain itu, bisa diperhatikan, source port intruder naik satu angka pada setiap jalinan koneksi. Setelah selesai, intruder mengirim RST/ACK untuk menutup koneksi.

SYN Scan
selanjutnya kita coba analisa TCP SYN scan. Disebut juga half-open scan. Karena full TCP connection tidak pernah diselesaikan. dimulai dari intruder mengirimkan SYN packet ke target. Apabila intruder menerima RST/ACK berarti port target ditutup. Apabila intruder menerima SYN/ACK maka port pada target open and listening. Intruder lalu langsung mengirim RST untuk menutup koneksi. SYN Scan juga dikenali sebagai scan stealth. Hanya beberapa perangkat saja yang mencatat ke log, karena koneksi full tidak pernah terjadi. Tetapi, ada banyak firewall dan IDS yang sekarang sudah mencatat dan mengenali tipe serangan ini.

XMAS Scan
XMAS scan mencari port yang terbuka dengan mengirimkan konfigurasi flag yang sudah dimanipulasi ke target. Bisa dikategorikan sebagai stealth karena bisa melewati beberapa jenis firewall dan IDS ketimbang scanning tipe SYN. XMAS mengirim paket dengan flag berseting FIN (finish), PSH (push), URG (urgent). Pada target, port yang tertutup akan mereply dengan RST/ACK, tetapi port yang terbuka akan mereply dengan langsung melakukan drop dan tidak merespon balik, karena itu attacker akan langsung mengenali port yang terbuka apabila paket scan yang dikirim tidak mendapat reply balik.
Tapi, serangan tipe ini tidak berguna pada target yang menggunakan system : Microsoft Windows, Cisco IOS, BSDI, HP/UX, MVS dan IRIX. Karena system akan mengirim reply RST ke attacker, bahkan dari port-port yang terbuka.

pada gambar di samping, attacker (192.168.0.9) mengirim paket ke komputer target 192.168.0.99, dengan menggunakan flag FIN, PSH dan URG. sebagian besar port membalas dengan RST/ACK, tapi attacker tidak mendapat reply dari port sunrpc. Dari sini attacker mengetahui bahwa port sunrpc terbuka dan men-drop paket yang masuk. Dari gambar diatas bisa juga dilihat kalau intruder menggunakan decoy address, 192.168.0.1, 192.168.0.199 dan 192.168.0.254. Decoy biasanya digunakan untuk menyamarkan IP sebenarnya dari intruder. Menjadikan tracking dan investigasi jadi lebih sulit. Tetapi dengan melihat lebih detail ke tiap paket bisa di ketahui kalau pada ketiga IP tersebut mempunyai MAC-address yang sama. Perhatikan juga kalau intruder ternyata menggunakan source port statik, 35964 dan 35965.

Null Scan
Hampir mirip dengan XMAS Scan, attacker melakukan scanning terhadap opened port dengan melakukan manipulasi pada flag, hanya saja pada Null Scan, flag yang dikirim adalah flag invalid (kosong). Flag yang dikirim oleh intruder adalah paket dengan semua flag kosong. Target yang mereply dengan RST berarti port tersebut ditutup (closed). Sedangkan port yang terbuka tidak akan merespon balik. Sama dengan scan tipe XMAS, tipe scan ini tidak berlaku untuk system yang menggunakan Microsoft Windows, Cisco IOS, BSDI, HP/UX, MVS dan IRIX. Karena system akan mengirim reply RST ke attacker, bahkan dari port-port yang terbuka.

pada gambar disamping, IP 192.168.0.9 mengirim paket ke IP 192.168.0.99, dengan semua flag di tutup (bisa dilihat dengan indikasi [] pada paket). Sebagian besar merespon dengan RST/ACK. Tetapi http port tidak mengirim/reply ke komputer intruder. karena itu intruder bisa mengetahui port http pada IP 192.168.0.99 dibuka. Perhatikan juga bahwa port sumber (static source port) menggunakan port 42294 dan 42295.

-e.o.f-