Co to jest skanowanie portów? Jest to podobne do tego, że złodziej przechodzi przez twoją okolicę i sprawdza wszystkie drzwi i okna w każdym domu, aby zobaczyć, które z nich są otwarte, a które zamknięte.
TCP (Transmission Control Protocol) i UDP (User Datagram Protocol) to dwa protokoły składające się na zestaw protokołów TCP / IP, który jest powszechnie używany do komunikacji w Internecie. Każdy z nich ma dostępne porty od 0 do 65535, więc zasadniczo jest ponad 65,000 XNUMX drzwi do zablokowania.
Jak działa skanowanie portów
Oprogramowanie do skanowania portów, w najbardziej podstawowym stanie, wysyła żądanie połączenia sekwencyjnego z komputerem docelowym na każdym porcie i zapisuje, które porty odpowiedziały lub wydają się być otwarte na bardziej szczegółowe badanie.
Jeśli skanowanie portów jest złośliwe, intruz zazwyczaj wolałby pozostać niewykryty. Aplikacje zabezpieczające sieć można skonfigurować tak, aby ostrzegały administratorów w przypadku wykrycia żądań połączeń na wielu portach z jednego hosta.
Aby obejść ten problem, intruz może wykonać skanowanie portu w trybie stroboskopowym lub niewidzialnym. Strobing ogranicza porty do mniejszego zestawu docelowego, zamiast ogólnego skanowania wszystkich 65536 portów. Skanowanie w ukryciu wykorzystuje takie techniki, jak spowolnienie skanowania. Skanując porty przez dłuższy czas, zmniejszasz prawdopodobieństwo, że cel wyzwoli alert.
Ustawiając różne flagi TCP lub wysyłając różne typy pakietów TCP, skanowanie portów może generować różne wyniki lub lokalizować otwarte porty na różne sposoby. Skan SYN powie skanerowi portów, które porty nasłuchują, a które nie są zależne od typu wygenerowanej odpowiedzi. Skan FIN utworzy odpowiedź z zamkniętych portów, ale otwarte porty i nasłuchiwanie nie będą r, więc skaner portów będzie w stanie określić, które porty są otwarte, a które nie.
Istnieje kilka różnych metod przeprowadzania właściwego skanowania portów, a także sztuczki służące do ukrycia źródła skanowania portów.
Jak monitorować skanowanie portów
Możliwe jest monitorowanie sieci pod kątem skanowania portów. Sztuczka, podobnie jak w przypadku większości rzeczy związanych z bezpieczeństwem informacji, polega na znalezieniu właściwej równowagi między wydajnością sieci a bezpieczeństwem sieci.
Możesz monitorować skanowanie SYN, rejestrując każdą próbę wysłania pakietu SYN do portu, który nie jest otwarty lub nie nasłuchuje. Jednak zamiast być ostrzeganym za każdym razem, gdy pojawia się pojedyncza próba, określ progi wyzwalające alert. Na przykład, możesz powiedzieć, że alarm powinien zostać wyzwolony, jeśli jest więcej niż 10 prób pakietów SYN do portów, które nie nasłuchują w ciągu danej minuty.
Można zaprojektować filtry i pułapki do wykrywania różnych metod skanowania portów, obserwując wzrost pakietów FIN lub po prostu nietypową liczbę prób połączenia z zakresem portów lub adresów IP z jednego źródła IP.
Aby upewnić się, że Twoja sieć jest chroniona i bezpieczna, możesz wykonać własne skanowanie portów. Głównym zastrzeżeniem jest upewnienie się, że masz aprobatę wszystkich uprawnień, które masz przed rozpoczęciem tego projektu, abyś nie znalazł się po złej stronie prawa.
Aby uzyskać najdokładniejsze wyniki, wykonaj skanowanie portów ze zdalnej lokalizacji przy użyciu sprzętu spoza firmy i innego usługodawcy internetowego. Korzystając z oprogramowania takiego jak Nmap, możesz przeskanować zakres adresów IP i portów i dowiedzieć się, co zobaczyłby atakujący, gdyby przeskanował twoją sieć. W szczególności NMap pozwala kontrolować prawie każdy aspekt skanowania i wykonywać różne typy skanowania portów, aby dopasować się do Twoich potrzeb.
Gdy dowiesz się, które porty odpowiadają jako otwarte, skanując porty w sieci, możesz rozpocząć pracę nad określeniem, czy te porty muszą być dostępne spoza sieci. Jeśli nie są wymagane, należy je wyłączyć lub zablokować. Jeśli są potrzebne, możesz zacząć badać, na jakie rodzaje luk i exploitów Twoja sieć jest otwarta, mając dostęp do tych portów i pracując nad zastosowaniem odpowiednich poprawek lub środków zaradczych, aby chronić swoją sieć w jak największym stopniu.