Stealth scan atau Half-open Scan, teknik yang dilakukan adalah me-reset TCP connection sebelum 3-way handshake selesai, karenanya koneksi akan half-open.
Tipe scan ini mengirimkan single frame dengan ekspektasi mendapatkan single response. Half-open scan membuka koneksi sebagian kemudian berhenti ditengah jalan. Sering disebut juga SYN scan, karena hanya mengirim SYN packet. Dengan Half-open, service tidak akan menotifikasi koneksi yang dibuat, jadi TCP SYN adalah metode stealth untuk port scanning.
Berikut proses Stealth Scan
- Client mengirim single packet SYN ke server pada port tertentu.
- Jika port terbuka, server akan merespon dengan SYN/ACK packet. Jika port tertutup, respon yang didapat adalah RST.
- Sebelum koneksi terjadi, Client akan mengirim RST packet untuk menutup koneksi yang baru diinisialisasi.
Attacker meggunakan teknik stealth scanning untuk menghindari firewall dan logging.
Pada nmap digunakan opsi -sS untuk melakukan stealth scanning.
$ nmap -sS <ip address>