Co to jest skanowanie portów? Jest podobny do złodzieja przechodzącego przez twoją okolicę i sprawdzającego każde drzwi i okno w każdym domu, aby zobaczyć, które są otwarte, a które zamknięte.
Protokół TCP (Transmission Control Protocol) i UDP (User Datagram Protocol) to dwa protokoły, które składają się na pakiet protokołów TCP / IP, który jest powszechnie używany do komunikacji w Internecie. Każdy z nich ma porty od 0 do 65535, więc w zasadzie istnieje ponad 65 000 drzwi do zablokowania.
Pierwsze 1024 porty TCP nazywane są dobrze znanymi portami i są powiązane ze standardowymi usługami, takimi jak FTP, HTTP, SMTP lub DNS. Niektóre adresy ponad 1023 mają również często powiązane usługi, ale większość tych portów nie jest związana z żadną usługą i są one dostępne dla programu lub aplikacji do komunikacji.
Jak działa skanowanie portów?
Oprogramowanie do skanowania portów, w swoim najbardziej podstawowym stanie, wysyła po kolei żądanie połączenia z komputerem docelowym na każdym porcie sekwencyjnie i odnotowuje, które porty zareagowały lub wydają się otwarte na bardziej szczegółowe badania.
Jeśli skanowanie portu odbywa się złośliwie, intruz zazwyczaj woli pozostać niewykryty. Aplikacje bezpieczeństwa sieci można skonfigurować tak, aby ostrzegały administratorów, jeśli wykryją żądania połączeń z wielu różnych portów z jednego hosta. Aby obejść ten problem, intruz może wykonać skanowanie portu w trybie stroboskopowym lub ukradkowym. Strobing ogranicza porty do mniejszego zestawu celów, a nie skanuje wszystkie porty 65536. Skanowanie ukośne wykorzystuje techniki, takie jak spowolnienie skanowania. Skanując porty przez znacznie dłuższy czas, zmniejszasz ryzyko, że cel wywoła alert.
Ustawiając różne flagi TCP lub wysyłając różne typy pakietów TCP, skanowanie portów może generować różne wyniki lub lokalizować otwarte porty na różne sposoby. Skan SYN wskaże skanerowi portu, które porty nasłuchują, a które nie zależą od typu wygenerowanej odpowiedzi. Skan FIN generuje odpowiedź z zamkniętych portów, ale porty otwarte i nasłuchujące nie wysyłają odpowiedzi, więc skaner portów będzie w stanie określić, które porty są otwarte, a które nie.
Istnieje wiele różnych metod wykonywania rzeczywistych skanowań portów, a także triki ukrywające prawdziwe źródło skanowania portów.
Jak monitorować skanowanie portów
Możliwe jest monitorowanie sieci pod kątem skanowania portów. Sztuczka, podobnie jak w przypadku większości rzeczy związanych z bezpieczeństwem informacji, polega na znalezieniu właściwej równowagi między wydajnością sieci i bezpieczeństwem sieci. Możesz monitorować skanowanie SYN, rejestrując każdą próbę wysłania pakietu SYN do portu, który nie jest otwarty lub nasłuchujący. Jednak zamiast ostrzec za każdym razem, gdy nastąpi pojedyncza próba - i być może obudzony w środku nocy z powodu niewinnej pomyłki - powinieneś zdecydować o progach, które mają wywołać alarm. Na przykład można powiedzieć, że jeśli jest więcej niż 10 prób wysłania pakietu SYN do portów nie nasłuchujących w danej minucie, że alarm powinien zostać uruchomiony. Można zaprojektować filtry i pułapki, aby wykryć różne metody skanowania portów - obserwując skok pakietów FIN lub po prostu anomalię liczbę prób połączenia z różnymi portami i / lub adresami IP z jednego źródła IP.
Aby upewnić się, że sieć jest chroniona i bezpieczna, możesz chcieć wykonać własne skanowanie portów. ZA POWAŻNY Zastrzeżenie tutaj polega na zapewnieniu, że uzyskasz aprobatę wszystkich uprawnień, które są przed rozpoczęciem tego projektu, abyś nie znalazł się po złej stronie prawa. Aby uzyskać dokładne wyniki, najlepiej wykonać skanowanie portu ze zdalnej lokalizacji, korzystając z urządzeń innych firm i innego dostawcy usług internetowych. Korzystając z oprogramowania, takiego jak Nmap, możesz skanować zakres adresów IP i portów i dowiedzieć się, co zobaczy osoba atakująca, jeśli chce przeskanować sieć przez port. W szczególności NMap pozwala kontrolować prawie każdy aspekt skanowania i wykonywać różne rodzaje skanowania portów, aby dopasować je do twoich potrzeb.
Gdy dowiesz się, które porty reagują jako otwarte przez port, skanując swoją własną sieć, możesz rozpocząć pracę nad ustaleniem, czy tak naprawdę jest niezbędny aby te porty były dostępne spoza twojej sieci. Jeśli nie są konieczne, należy je zamknąć lub zablokować. Jeśli są one niezbędne, możesz zacząć badać, jakie rodzaje luk w zabezpieczeniach i ich exploity są dostępne w sieci, dzięki dostępności tych portów i pracować nad zastosowaniem odpowiednich poprawek lub zabezpieczeń w celu ochrony sieci tak bardzo, jak to możliwe.
