ISGroup Consultoría de Ciberseguridad

TCP Half Open Scan

El TCP Half Open Scan, también conocido como SYN scan, es una técnica utilizada para descubrir puertos abiertos en un sistema remoto sin completar la conexión TCP completa. Esta técnica se basa en la ejecución de la primera mitad de un protocolo de enlace de tres vías (three-way handshake) del protocolo TCP para determinar si un puerto está abierto.

Cómo funciona

En el protocolo TCP, una conexión entre dos hosts se establece a través de un proceso conocido como protocolo de enlace de tres vías, que involucra tres pasos:

  1. SYN: El host que inicia la conexión envía un paquete SYN (synchronize) al servidor de destino.
  2. SYN-ACK: Si el puerto en el servidor de destino está abierto, el servidor responde con un paquete SYN-ACK (synchronize-acknowledge).
  3. ACK: El host que inició la conexión envía un paquete ACK (acknowledge) para completar la conexión.

En el TCP Half Open Scan, el host que realiza el escaneo envía solo el paquete SYN inicial y espera la respuesta SYN-ACK. Si recibe un paquete SYN-ACK, significa que el puerto está abierto. Sin embargo, el host nunca envía el paquete ACK final, interrumpiendo así el proceso de conexión antes de que se complete. Esto deja la conexión “a medias” (half open), de donde proviene el nombre de la técnica.

Ventajas del TCP Half Open Scan

  • Discreción: Dado que la conexión nunca se completa, esta técnica es menos evidente en los registros del sistema en comparación con una conexión TCP completa. Esto puede hacer que el TCP Half Open Scan sea un método preferido para escaneos sigilosos.
  • Velocidad: La falta de necesidad de completar el protocolo de enlace de tres vías hace que esta técnica sea más rápida que otras técnicas de escaneo.
  • Eficiencia: Esta técnica permite detectar puertos abiertos con un uso mínimo de los recursos de red y del sistema.

Desventajas y Riesgos

  • Detectabilidad: A pesar de su naturaleza más discreta en comparación con otras técnicas, el TCP Half Open Scan aún puede ser detectado por sistemas de detección de intrusos (IDS) avanzados.
  • Limitaciones: Algunos firewalls y sistemas de seguridad pueden configurarse para bloquear o limitar los paquetes SYN incompletos, reduciendo la eficacia de esta técnica.

Usos comunes

El TCP Half Open Scan se utiliza comúnmente en:

  • Pruebas de seguridad: Los profesionales de la ciberseguridad utilizan esta técnica para evaluar la seguridad de las redes e identificar puertos abiertos que podrían ser explotados por atacantes.
  • Evaluaciones de vulnerabilidad: Los analistas de seguridad emplean esta técnica para identificar posibles puntos débiles en los sistemas y las redes.
  • Reconocimiento malintencionado: Los atacantes pueden utilizar esta técnica para recopilar información sobre las redes de destino sin atraer demasiada atención.

Conclusión

El TCP Half Open Scan representa un método eficaz y discreto para identificar puertos abiertos en un sistema remoto, aprovechando la primera mitad del protocolo de enlace de tres vías de TCP. A pesar de sus ventajas en términos de velocidad y discreción, debe utilizarse con precaución debido a las posibles contramedidas implementadas por los sistemas de seguridad modernos.

In