n  FIN – флаг «мягкого» завершения соединения. При получении пакета с этим флагом удаленная сторона передает информацию, накопленную в буфере, и завершает сеанс;

n  SYN – флаг «синхронизации» используется при запросе на установление соединения. Так, при желании установить связь система выставляет пакет с флагом SYN. Удаленная система отвечает на него пакетом с установленными битами SYN и ACK (см. ниже). В ответ на этот пакет высылается пакет подтверждения с флагом ACK, после чего TCP-соединение считается установленным;

n  RST – сигнал «сброса» (жесткий разрыв соединения). При получении пакета с таким битом удаленная система должна прекратить сеанс связи немедленно;

n  PSH – команда на принудительную внеочередную передачу информации, накопленной в буфере (в нормальном режиме TCP-пакеты отсылаются не сразу, а предварительно накапливаются в буфере передачи и отсылаются только при достижении определенного размера буфера);

n  ACK – флаг «подтверждение приема». Данный флаг должен выставляться в ответ на безошибочный прием любого пакета;

n  URG – пакет содержит данные, имеющие высокий приоритет (которые должны обрабатываться в первую очередь).

Наиболее важной с точки зрения фильтрации информацией TCP-заголовка являются флаги и адреса портов. IP-адреса в данном заголовке не передаются, поскольку за маршрутизацию отвечает сетевой уровень, обслуживаемый протоколом IP.

Формат UDP-заголовка намного проще:

То есть в данном случае передаются номера портов источника и приемника, длина пакета и контрольная сумма заголовка, после чего следуют пользовательские данные.

Основные способы сканирования портов

Для того чтобы получить информацию об атакуемой машине или сети, чаще всего используется сканирование портов. Этот метод заключается в том, что последовательно отсылаются пакеты, предназначенные различным портам удаленной машины, и на основании полученных ответов делается вывод о том, открыт данный порт (то есть работает ли программа, обслуживающая пакеты, приходящие на него) или закрыт. Также по характеру реакции «жертвы» на нестандартные пакеты довольно часто удается определить операционную систему, работающую на сканируемой машине, и версии обслуживающих соответствующие порты программ.

Одной из наиболее распространенных в среде UNIX утилит для определения доступных портов является программа nmap. Для FreeBSD она может быть установлена из коллекции портов: /usr/ports/security/nmap.

Упрощенно формат ее запуска следующий:

# nmap [options] hosts

Параметр hosts задает список сканируемых хостов через запятую или диапазон сканируемых адресов через дефис. Опции задают метод сканирования и могут иметь следующие значения: