¿Puertos sigilosos incluso mientras se comunican?

0

Estaba usando un sitio / programa de sondeo de puertos llamado ShieldsUp! para escanear mis puertos. Informó que todos mis puertos eran "sigilosos", y en sus palabras

Su sistema ha logrado una calificación perfecta de "TruStealth". No se recibió un solo paquete, solicitado o no, de su sistema como resultado de nuestras pruebas de sondeo de seguridad. Su sistema ignoró y rechazó responder a Pings repetidos (solicitudes de eco ICMP). Desde el punto de vista de las pruebas pasajeras de cualquier hacker, esta máquina no existe en Internet. Algunos sistemas de seguridad personal cuestionables exponen a sus usuarios al intentar "contra sondear al probador", revelándose así. Pero su sistema sabiamente permaneció en silencio en todos los sentidos. Muy agradable.

Luego ejecuté el mismo escaneo de puertos cuando supe que tenía un programa que estaba usando ciertos puertos y la prueba regresó sigilosamente.

¿Es eso de esperar? Tenía la impresión de que usar los puertos los hacía visibles. Esperaba que descubriera que muchos de mis puertos simplemente se cerraron en función de su definición de estado de puerto de Internet porque estaba ejecutando estas pruebas en una instalación nueva de Ubuntu sin un firewall de terceros instalado.

Pero incluso si Ubuntu tenía un firewall incorporado, tenía que decirle que abriera específicamente los puertos que quería usar. ¿Ubuntu cerraría automáticamente esos puertos cuando no recibiera tráfico?

Información adicional (no estaba seguro de que importaría al principio)

Omití parte de la explicación porque no estaba seguro de que fuera relevante, pero ahora creo que podría serlo. Lo configuré para que dos computadoras en mi red se comunicaran usando un cliente de comunicación simple. Y mientras las dos computadoras se comunicaban, ejecuté la sonda de puerto en una de las computadoras. Solo menciono esto porque parece que habría puertos abiertos porque cada computadora esperaría tráfico en un puerto determinado.

Ryan
fuente
1
¿Tiene un firewall / enrutador entre Internet y su computadora? Si es así, el sitio está probando su enrutador en lugar de su computadora, a menos que tenga el enrutador configurado para pasar las conexiones entrantes a la computadora (por ejemplo, reenvío de puertos o DMZ)
Eric Petroelje

Respuestas:

3

Hay una diferencia entre un puerto a su lado y un puerto en el servidor, y entre un puerto de escucha y una conexión.

ShieldsUp! solo busca los puertos TCP que tienen un servicio que escucha en su computadora las conexiones desde otro lugar. Por ejemplo, si tuviera un servidor web ejecutándose, tendría TCP / 80 / entrante "abierto".

(Si A intenta establecer una conexión con el puerto X de B, y no hay servicio escuchando en ese puerto, A generalmente recibe un paquete de "reinicio". AFAIK, el modo sigiloso significa que A ni siquiera recibirá una respuesta negativa, como si el el host no existía)

Sin embargo, "usar" el mismo puerto, por ejemplo, navegar por la web usando HTTP, no abre ese puerto a su lado. Una conexión HTTP que realice es al puerto 80 en el servidor web , pero desde un puerto elegido al azar a su lado. E incluso ese puerto local no puede describirse como "abierto", ya que no hay nada escuchando las conexiones en él; el SO solo acepta paquetes que pertenecen a una conexión específica ya activa .


Cada conexión TCP se identifica por cuatro cosas: dirección local: puerto y dirección remota: pares de puertos . Dos paquetes deben tener una dirección idéntica: los pares de puertos deben considerarse como pertenecientes a la misma conexión (aunque las respuestas obviamente tienen inversión local y remota).

Por ejemplo, si está 1.0.0.1y abra una conexión TCP de 1.0.0.1:13579a 2.2.2.2:80. Cuando se recibe un paquete, no será considerado como perteneciente a la misma conexión solamente si viniera de 2.2.2.2:80a 1.0.0.1:13579.

Esto significa que puedes:

  • abrir múltiples conexiones a diferentes servidores;
  • a diferentes puertos del mismo servidor;
  • e incluso al mismo puerto del mismo servidor

siempre que al menos un número (generalmente el puerto local elegido al azar) sea diferente.

Gravedad
fuente
De acuerdo, omití parte de la explicación porque no estaba seguro de que fuera relevante, pero ahora creo que podría serlo. Lo configuré para que dos computadoras en mi red se comunicaran usando un cliente de comunicación simple. Y mientras las dos computadoras se comunicaban, ejecuté la sonda de puerto en una de las computadoras. ¿Su explicación aún sería precisa si así se usaran los puertos? Solo pregunto porque parece que habría puertos abiertos porque cada computadora esperaría tráfico en un puerto determinado.
Ryan
@ Ryan: Actualizó la respuesta ... [Aunque soy bastante malo explicando las cosas.]
Grawity
¡Gracias por la actualización! ¡Hiciste un gran trabajo al explicarlo!
Ryan
2

Los puertos solo están abiertos cuando un proceso está escuchando, esperando que dispositivos remotos se conecten a él. Como tal, los resultados que ha recibido son de esperar.

Llora Havok
fuente
2

Según tengo entendido, su firewall se encuentra entre cualquier aplicación en su PC (que tiene permiso de las reglas del firewall automatizado o de usted) e Internet. Si el programa está escuchando datos en un puerto, entonces el firewall también está escuchando. Cualquier intento inesperado de comunicación desde Internet será detectado por el firewall e ignorado / descartado, la aplicación ni siquiera lo verá.

Ataviar
fuente