TCP idlescan
Los sistemas zombis pueden ser elegidos en base a su bajo tráfico y números de secuencia IPID predecibles. El ataque comienza cuando se falsifica un paquete SYN en nombre de un sistema zombi y se envía al puerto de un sistema objetivo. Cuando el sistema objetivo recibe un paquete SYN falsificado, responde con SYN/ACK al host zombi. Como el host zombi no esperaba el paquete SYN/ACK entrante, generará un paquete RST de vuelta al host objetivo, incrementando así su IPID en uno. Por otro lado, si el puerto del host de destino está cerrado, se enviará un paquete RST al host zombi que se descartará silenciosamente y no dará lugar a un incremento.
Por fin se muestrea el sistema zombi para determinar en qué medida se ha incrementado el número de IPID, teniendo en cuenta que la solicitud de muestra dará lugar a un incremento adicional de IPID. En la muestra final, si el contador de IPID del zombi se incrementó en dos, el puerto de destino está abierto; sin embargo, si el contador de IPID se incrementó sólo en uno, el puerto de destino está cerrado.
Este sistema ofrece una solución de escaneo de puertos sigilosa, ya que no se transmiten paquetes entre la máquina escáner y el objetivo. Además, permite el mapeo de máquinas de confianza, útil para eludir las reglas del cortafuegos
- portscansondeo de puertos, escaneo -