Какво представлява сканирането по порт? Подобно е на крадец, който минава през квартала ви и проверява всяка врата и прозорец на всяка къща, за да види кои са отворени и кои са заключени.
TCP ( Transmission Control Protocol ) и UDP (User Datagram Protocol) са два от протоколите, които съставят протокола TCP / IP протокол, който се използва универсално за комуникация в Интернет. Всеки от тях има порти от 0 до 65535, така че по същество има повече от 65 000 врати за заключване.
Първите 1024 TCP порта се наричат добре известни портове и са свързани със стандартни услуги като FTP, HTTP, SMTP или DNS . Някои от адресите над 1023 също имат често свързани услуги, но по-голямата част от тези пристанища не са свързани с никаква услуга и са достъпни за програма или приложение, за да се използва за комуникация.
Как работи сканирането на портове
Софтуерът за сканиране на портове в най-основното си състояние просто изпраща заявка за последователно свързване с целевия компютър на всеки порт и прави бележка кои пристанища отговарят или изглеждат отворени за по-задълбочено сондиране.
Ако сканирането на пристанището се извършва със злонамерени намерения, натрапникът обикновено предпочита да не бъде открит. Приложенията за мрежова защита могат да бъдат конфигурирани, за да предупредят администраторите, ако открият заявки за връзка в широк кръг от пристанища от един хост. За да се измъкнем от това, натрапникът може да направи сканирането на пристанището в режим на странен или скрит режим. Strobing ограничава пристанищата до по-малък целеви набор, отколкото одеалово сканиране на всичките 65536 порта. Скритото сканиране използва техники като забавяне на сканирането. Чрез сканиране на портовете за много по-дълъг период от време намалявате вероятността целта да задейства предупреждение.
Чрез настройване на различни TCP флагове или изпращане на различни типове TCP пакети сканирането на портове може да генерира различни резултати или да открива отворени портове по различни начини. Син сканирането ще покаже на пристанищния скенер кои портове слушат и които не зависят от типа на генерирания отговор. ФИН сканирането ще генерира отговор от затворени портове, но пристанищата, които са отворени и слушани, няма да изпратят отговор, така че пристанищният скенер ще може да определи кои пристанища са отворени и кои не.
Има редица различни методи за извършване на действителните сканирания на пристанищата, както и трикове за скриване на истинския източник на сканиране на портове. Можете да прочетете повече за някои от тях, като посетите тези уебсайтове: Обяснени са пристанищни сканирания или мрежови сонди.
Как да наблюдавам пристанищните сканирания
Възможно е да наблюдавате мрежата за сканиране на портове. Номерът, както при повечето неща в областта на информационната сигурност , е да се намери точното равновесие между производителността на мрежата и безопасността на мрежата. Можете да наблюдавате за сканиране на SYN, като запишете всеки опит за изпращане на SYN пакет до пристанище, което не е отворено или слушано. Въпреки това, вместо да бъдете предупредени всеки път, когато се случи един опит - и вероятно да бъдете събудени в средата на нощта за иначе невинна грешка - трябва да решите праговете, за да задействате предупреждението. Например може да кажете, че ако има повече от 10 опита за SYN пакети за неприсъстващи портове в дадена минута, че сигналът трябва да бъде задействан. Бихте могли да проектирате филтри и капани, за да откриете различни методи за сканиране на портове - да гледате за скок в FIN пакети или просто за аномален брой опити за свързване към различни портове и / или IP адреси от един IP източник.
За да сте сигурни, че вашата мрежа е защитена и сигурна, може да искате да извършите свои собствени пристанищни сканирания. Основно предупреждение тук е да се гарантира, че имате одобрение от всички правомощия, които са преди да се включите в този проект, за да не се окажете на грешната страна на закона. За да получите точни резултати, най-добре е да извършите сканирането на пристанища от отдалечено място, като използвате не-фирмено оборудване и различен ISP . Използвайки софтуер като NMap, можете да сканирате редица IP адреси и портове и да разберете какво би видял атакуващият, ако се опитали да сканират вашата мрежа. По-специално, NMap ви позволява да контролирате почти всеки аспект от сканирането и да извършвате различни видове пристанищни сканирания, за да отговаряте на вашите нужди.
След като разберете кои портове отговарят като отворени по пристанище, сканирайки собствената си мрежа, можете да започнете да определяте дали в действителност е необходимо тези пристанища да са достъпни отвън от вашата мрежа. Ако не са необходими, трябва да ги затворите или да ги блокирате. Ако са необходими, можете да започнете да проучвате какви видове уязвимости и експлоатират вашата мрежа е отворена, като имате достъп до тези пристанища и работите, за да приложите подходящите корекции или смекчаване, за да защитите мрежата си колкото е възможно повече.