JENIS-JENIS PORT SCANNING

    Port Scanning bisa jadi ancaman yang cukup serius bagi system kita, dan menjadi hal yang
sangat menyenangkan bagi para attacker.
Dengan PORT scanning, attacker mendapatkan informasi-informasi berharga yang dibutuhkan
dalam melakukan serangan. Pada intinya, melakukan port scanning ialah untuk mengidentifikasi
port-port apa saja yang terbuka, dan mengenali OS target.
    Adapun jenis-jenis PORT scanning antara lain:

1. TCP connect scan

    Scan jenis ini sangat mudah terdeteksi oleh system target. Scan tipe ini tergantung dari OS
korban, sehingga cukup riskan untuk dipakai. Jenis Scan ini ialah dengan melakukan koneksi ke
PORT sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan ACK). Hal ini
berarti, korban akan melakukan logging scanning jenis ini. Karena itulah scanning jenis ini
sangat mudah terdeteksi. 

2. TCP SYN scan (half-opening scanning)

    Jenis ini lebih aman daripada TCP connect scan. TCP SYN scan merupakan tehnik yang
paling banyak digunakan dan agak sukar terdeteksi, karena tidak menggunakan 3 way handshake
secara lengkap, yang disebut sebagai teknik half open scanning.
    Pada TCP SYN scan, suatu koneksi penuh TCP tidak sampai terbentuk. Tehnik dari TCP SYN
scan ialah dengan mengirimkan suatu paket SYN ke PORT sasaran. Apabila SYN/ACK diterima
dari PORT sasaran, maka kita dapat mengambil kesimpulan bahwa PORT itu berada dalam
status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning
sehingga koneksi penuh tidak akan terbentuk.

3. TCP FIN scan

    Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX. Teknik dari TCP FIN scan
ialah dengan mengirimkan suatu paket FIN ke PORT sasaran. Sistem sasaran akan mengirim
balik suatu RST untuk setiap PORT yang tertutup (RFC 793).

4. TCP Xmas Tree scan

    Teknik ini dilakukan dengan mengirimkan suatu paket FIN, URG, dan PUSH ke PORT
sasaran.

5. TCP Null scan

    TCP Null scan dilakukan dengan membuat off semua flag.

6. TCP ACK scan

    Scan tipe ini agak sedikit berbeda karena tidak digunakan untuk menentukan apakah PORT
tersebut terbuka tau tertutup. Scan ini hanya menunjukkan apakah state korban terfiltered atau
unfiltered. Jika terfiltered, maka PORT mana yang terfiltered.
    Dengan kata lain, TCP ACK scan dipergunakan untuk memetakan set aturan firewall. Tehnik
ini akan membantu menentukan apakah firewall itu merupakan suatu simple packet filter yang
membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall
yang menjalankan advance packet filtering.
    ACK scan bekerja dengan mengirimkan paket TCP dengan flag ACK. Jika unfiltered, korban
mengirim RST, yang artinya korban menerima paket ACK, Akan tetapi, status PORT target bisa
dalam kondisi open atau close. Apabila ternyata korban tidak merespon, atau mengirim paket
ICMP error (type 3, code 1, 2, 3, 9, 10, or 13), maka korban diberi status filtered.

7. TCP Windows scan

    Teknik ini dapat mendeteksi PORT-port terbuka maupun terfilter/tidak terfilter pada sistem-
sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran
windows TCP yang dilaporkan.

8. TCP RPC scan

    Teknik ini spesifik hanya pada system UNIX dan digunakan untuk mendeteksi dan
mengidentifikasi PORT RPC (Remote Procedure Call) dan program serta normor versi yang
berhubungan dengannya.
 
9. UDP scan
    Pada UDP scan, sesuai dengan namanya, paket yang dikirim adalah paket UDP. Bila PORT
sasaran memberikan respon berupa pesan “ICMP PORT unreachable” artinya PORT ini tertutup.
Sebaliknya bila tidak menerima pesan di atas, kita dapat menyimpulkan bahwa PORT itu
terbuka. UDP scanning merupakan proses yang amat lambat apabila anda mencoba menlakukan
scan terhadap suatu perangkat yang menjalankan packet filtering berbeban tinggi.

https://www.youtube.com/watch?v=pveKvRhZgeI

Port Scanner merupakan aplikasi yang digunakan untuk melihat informasi atau status dari protocol dan
port yang terbuka (open) dari sebuah perangkat. Dengan aplikasi ini bisa jadi merupakan sebuah awal
dari dimulainya serangan terhadap sebuah resource di jaringan. Ketika informasi protocol/port sudah
didapat maka 'Hacker' bisa memanfaatkan untuk melakukan eksploitasi dari protocol/port tersebut.
Misal, salah satu contoh untuk serangan Distributed Denial of Service (DDoS). Banyak aplikasi yang bisa
digunakan untuk melakukan port scanner yang umumnya seperti nmap, netcut, unicornscan. Pada
parameter PSD terdapat beberapa konfigurasi yang perlu di setting: 1. Weight Threshold : Nilai total dari
'LowPortWeight' dan 'HighPortWeight' untuk paket-paket TCP/UDP dengan tujuan port yang berbeda
ynag berasal dari host/Source IP Address yang sama. Rule PSD akan berjalan ketika sudah mencapai nilai
Weight Threshold ini. (Secara default nilainya adalah 21). 2. Delay Threshold : Merupakan nilai waktu
jeda (delay) dari trafik/paket yang dikirimkan oleh aplikasi port sacnner dari sebuah host/Source IP
Address yang sama dengan tujuan berbeda port. (Default adalah 00:00:03) 3. Low Port Weight : Sebuah
nilai yang diberikan oleh system ketika terdapat trafik/paket dari Port Scanner yang memiliki destinasi
ke 'Low Port'. Disini yang dimaksud dari low port adalah port dibawah 1024 atau yang masuk dalam
kategori System/Well-Known Port. Seperti port 80 (HTTP), 443 (HTTPS), 53 (DNS), 22 (SSH), 23 (Telnet),
110 (POP3), SMTP (25), dll. 4. High Port Weight : Sebuah nilai yang diberikan oleh system ketika terdapat
trafik/paket dari Port Scanner yang memiliki destinasi ke 'High Port'. Disini yang dimaksud dari high port
adalah port yang diatas 1024 atau yang masuk dalam kategori registered port dan dynamic/private port.
Seperti 3128 (Squid web-Proxy), 1080 (SOCKS Proxy), 1701 (L2TP), 1723 (PPTP), dll.