If-Koubou

HTG wyjaśnia: Czym jest skanowanie portów?

HTG wyjaśnia: Czym jest skanowanie portów? (Jak)

Skanowanie portów przypomina trochę poruszenie klamkami, aby zobaczyć, które drzwi są zamknięte. Skaner uczy się, które porty na routerze lub zaporze są otwarte, i może wykorzystać te informacje, aby znaleźć potencjalne słabości systemu komputerowego.

Co to jest port?

Gdy urządzenie łączy się z innym urządzeniem przez sieć, określa numer portu TCP lub UDP od 0 do 65535. Niektóre porty są jednak używane częściej. Porty TCP od 0 do 1023 to "dobrze znane porty", które zapewniają usługi systemowe. Na przykład port 20 to transfery plików FTP, port 22 to połączenia terminalowe Secure Shell (SSH), port 80 to standardowy ruch internetowy HTTP, a port 443 to szyfrowany HTTPS. Tak więc, kiedy łączysz się z bezpieczną witryną, twoja przeglądarka rozmawia z serwerem sieciowym nasłuchującym na porcie 443 tego serwera.

Usługi nie zawsze muszą działać na tych określonych portach. Na przykład możesz uruchomić serwer WWW HTTPS na porcie 32342 lub serwer Secure Shell na porcie 65001, jeśli Ci się spodobał. Są to tylko standardowe wartości domyślne.

Co to jest skanowanie portów?

Skanowanie portów to proces sprawdzania wszystkich portów pod adresem IP, aby sprawdzić, czy są otwarte czy zamknięte. Oprogramowanie do skanowania portów sprawdza port 0, port 1, port 2 i przez cały port 65535. Robi to, wysyłając żądanie do każdego portu i prosząc o odpowiedź. W najprostszej formie oprogramowanie do skanowania portów pyta o każdy port, po jednym na raz. Zdalny system odpowie i powie, czy port jest otwarty, czy zamknięty. Osoba przeprowadzająca skanowanie portu będzie wtedy wiedzieć, które porty są otwarte.

Każda zapora sieciowa w taki sposób może zablokować lub w inny sposób zrzucić ruch, więc skanowanie portów jest również metodą znajdowania portów, które są osiągalne lub narażone na działanie sieci, w tym systemie zdalnym.

Narzędzie nmap jest powszechnym narzędziem sieciowym używanym do skanowania portów, ale istnieje wiele innych narzędzi do skanowania portów.

Dlaczego ludzie uruchamiają skanowanie portów?

Skanowanie portów jest przydatne do określania podatności systemu. Skanowanie portów powie atakującemu, które porty są otwarte w systemie, i które pomogą im sformułować plan ataku. Na przykład, jeśli serwer Secure Shell (SSH) został wykryty jako nasłuchujący na porcie 22, osoba atakująca może spróbować połączyć się i sprawdzić słabe hasła. Jeśli inny typ serwera nasłuchuje na innym porcie, atakujący może go wykryć i sprawdzić, czy istnieje błąd, który można wykorzystać. Być może działa stara wersja oprogramowania i istnieje znana luka w zabezpieczeniach.

Tego typu skany mogą również pomóc w wykryciu usług działających na portach innych niż domyślne. Tak więc, jeśli używasz serwera SSH na porcie 65001 zamiast portu 22, skanowanie portu ujawni to, a atakujący może spróbować połączyć się z serwerem SSH na tym porcie. Nie można po prostu ukryć serwera na porcie innym niż domyślny, aby zabezpieczyć system, chociaż powoduje to, że serwer jest trudniejszy do znalezienia.

Skany portów są używane nie tylko przez atakujących. Skanowanie portów jest użyteczne w defensywnych testach penetracyjnych. Organizacja może skanować własne systemy, aby określić, które usługi są narażone na działanie sieci i upewnić się, że są one skonfigurowane w bezpieczny sposób.

Jak niebezpieczne są skany portowe?

Skanowanie portów może pomóc atakującemu znaleźć słaby punkt do ataku i włamać się do systemu komputerowego. To tylko pierwszy krok. To, że znalazłeś otwarty port, nie oznacza, że ​​możesz go zaatakować. Ale po znalezieniu otwartego portu z usługą nasłuchiwania można skanować w poszukiwaniu luk. To jest prawdziwe niebezpieczeństwo.

W sieci domowej prawie na pewno masz router między tobą a Internetem. Ktoś w Internecie będzie mógł przeskanować tylko twój router i nie znajdzie nic poza potencjalnymi usługami na samym routerze. Router działa jak zapora ogniowa - chyba że przekazałeś poszczególne porty z routera na urządzenie, w którym to przypadku te konkretne porty są narażone na działanie Internetu.

W przypadku serwerów komputerowych i sieci korporacyjnych zapory ogniowe można skonfigurować tak, aby wykrywały skanowanie portów i blokowały ruch z adresu skanowanego. Jeśli wszystkie usługi narażone na Internet są bezpiecznie skonfigurowane i nie mają żadnych luk w zabezpieczeniach, skanowanie portów nie powinno być zbyt przerażające.

Rodzaje skanowania portów

Podczas skanowania portu "Łącze TCP pełne" skaner wysyła komunikat SYN (żądanie połączenia) do portu. Jeśli port jest otwarty, system zdalny odpowiada komunikatem SYN-ACK (potwierdzenie). Skaner niż reaguje własnym komunikatem ACK (potwierdzenie). Jest to pełne uzgadnianie połączenia TCP, a skaner wie, że system akceptuje połączenia na porcie, jeśli ten proces ma miejsce.

Jeśli port zostanie zamknięty, system zdalny odpowie komunikatem RST (reset). Jeśli system zdalny po prostu nie jest obecny w sieci, nie będzie odpowiedzi.

Niektóre skanery wykonują skanowanie "w połowie otwartego TCP". Zamiast przechodzić pełny cykl SYN, SYN-ACK, a następnie ACK, wysyłają tylko SYN i czekają na odpowiedź SYN-ACK lub RST. Nie ma potrzeby wysyłania końcowego potwierdzenia, aby zakończyć połączenie, ponieważ SYN-ACK poinformuje skaner o wszystkim, co powinien wiedzieć. Jest szybszy, ponieważ trzeba wysłać mniej pakietów.

Inne typy skanów obejmują wysyłanie nieznajomych, źle sformatowanych typów pakietów i czekanie, czy zdalny system zwróci pakiet RST zamykający połączenie. Jeśli tak, skaner wie, że w tym miejscu znajduje się system zdalny i że jeden konkretny port jest na nim zamknięty. Jeśli nie zostanie odebrany żaden pakiet, skaner wie, że port musi być otwarty.

Proste skanowanie portów, w którym oprogramowanie żąda informacji o każdym porcie, jeden po drugim, jest łatwe do wykrycia. Zapory sieciowe można łatwo skonfigurować, aby wykryć i zatrzymać to zachowanie.

Dlatego niektóre techniki skanowania portów działają inaczej.Na przykład skanowanie portów może skanować mniejszy zakres portów lub może skanować cały zakres portów przez znacznie dłuższy czas, dlatego trudniej byłoby je wykryć.

Skanowanie portów jest podstawowym narzędziem do zabezpieczania chleba i masła, jeśli chodzi o przenikanie (i zabezpieczanie) systemów komputerowych. Ale to tylko narzędzie, które pozwala intruzom znaleźć porty, które mogą być podatne na ataki. Nie umożliwiają one atakującemu dostępu do systemu, a bezpiecznie skonfigurowany system może z całą pewnością wytrzymać pełne skanowanie portów bez szkody.

Image Credit: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.