Articles

co je to skener portů a jak to funguje?

admin 18 září, 2021 0 Comment

Port scanner je počítačový program, který kontroluje síťové porty pro jeden ze tří možných stavů-otevřený, uzavřený nebo filtrovaný.

portové skenery jsou cennými nástroji při diagnostice problémů se sítí a připojením. Nicméně, útočníci použít port skenerů pro detekci možných přístupových bodů pro infiltraci a určit, jaké zařízení používáte v síti, jako jsou firewally, proxy servery nebo servery VPN. Tady si musíme projít, vstupy a výstupy z port scanner, včetně:

  • Jak port scanner funguje
  • skenování Portů techniky
  • Port skenování nástroje
  • Jak detekovat skenování portů
  • Proč byste měli spustit skenování portů

Jak Funguje Port Scanner Fungovat?

tři možné skenování portů odpovědi

port scanner vysílá požadavek sítě připojit ke konkrétní TCP nebo UDP port na počítači a zaznamenává odpovědi.

takže to, co skener portů dělá, je poslat paket síťových dat do portu, aby zkontroloval aktuální stav. Pokud byste chtěli zkontrolovat, zda váš webový server funguje správně, zkontrolovali byste stav portu 80 na tomto serveru, abyste se ujistili, že je otevřený a poslouchá.

stav pomáhá síť inženýři diagnostikovat problémy se sítí nebo aplikace s připojením, nebo pomáhá útočníkům najít možné porty k použití pro infiltraci do vaší sítě.

co je Port?

port je virtuální umístění, kde začíná a končí Síťová komunikace(v kostce). Pro podrobnější vysvětlení musíme vytvořit malé základní informace. Na každém počítači jsou dva druhy síťových portů (65 536 z každého pro celkem 131 082 síťových portů):

  • TCP a UDP

Každý počítač má IP (Internet Protocol) adresy, která je, jak síť ví, který počítač posílat pakety. Pokud odešlete paket na adresu IP, počítač ví, na jaký port má paket směrovat na základě obsahu aplikace nebo paketu. Každá služba spuštěná v počítači musí „poslouchat“ na určeném portu.

první 1023 TCP porty jsou dobře známé porty vyhrazené pro aplikace jako FTP(21), HTTP(80), nebo SSH(22) a Internet assigned Numbers Authority (IANA) rezervy na tyto body aby jim standardizované.

TCP porty 1024-49151 jsou k dispozici pro použití službami nebo aplikacemi a můžete je zaregistrovat u IANA, takže jsou považovány za částečně vyhrazené. Porty 49152 a vyšší jsou zdarma k použití.

základy skenování portů

skener portů odešle síťový paket TCP nebo UDP a zeptá se portu na jejich aktuální stav. Níže jsou uvedeny tři typy odpovědí:

  1. otevřeno, přijato: počítač odpoví a zeptá se, zda pro vás může něco udělat.
  2. zavřeno, neposlouchá: počítač odpoví, že „tento port je v současné době používán a není k dispozici.“
  3. filtrováno, upuštěno, zablokováno: počítač se ani neobtěžuje reagovat.

skenování portů se obvykle vyskytuje brzy v řetězci cyber kill, během průzkumu a vniknutí. Útočníci používají port skenování detekovat cíle s otevřené a nepoužívané porty, které mohou využít pro infiltraci, velení a řízení, a údaje potřebné nebo zjistit, jaké aplikace běží na tomto počítači využívat zranitelnosti v této aplikaci.

Skenování Portů Techniky

pět skenování portů techniky

Nmap je jeden z nejpopulárnějších open-source port skenování nástroje k dispozici. Nmap poskytuje řadu různých technik skenování portů pro různé scénáře.

Ping Scanner

nejjednodušší skenování portů jsou ping skeny. Ping je požadavek echo protokolu ICMP (Internet Control Message Protocol) – hledáte odpovědi ICMP, což znamená, že cíl je naživu – Ping scan je automatizovaný výbuch mnoha požadavků ICMP echo na různé cíle, aby zjistil, kdo odpoví. Ping skeny nejsou technicky techniky skenování portů, protože to nejlepší, co můžete získat zpět, je, že na druhém konci je počítač, ale je to související a obvykle první úkol před provedením skenování portů.

Administrátoři obvykle zakazují ICMP (ping) buď na firewallu, nebo na routeru pro externí provoz a nechávají jej otevřený uvnitř sítě. Je to rychlé a snadné vypnout tuto funkci a znemožnit průzkum sítě tímto způsobem. Ping je však užitečným nástrojem pro řešení problémů a jeho vypnutí ztěžuje sledování problémů se sítí.

TCP Half Open

jednou z běžnějších a populárnějších technik skenování portů je TCP half-open port scan, někdy označovaný jako syn scan. Je to rychlé a záludné skenování, které se snaží najít potenciální otevřené porty v cílovém počítači.

syn pakety vyžadují odpověď z počítače a paket ACK je odpověď. V typické transakci TCP existuje SYN, ACK ze služby a třetí potvrzující zpráva ACK.

toto skenování je rychlé a těžko detekovatelné, protože nikdy nedokončí úplnou cestu TCP 3-handshake. Skener odešle zprávu SYN a pouze zaznamená odpovědi SYN-ACK. Skener nedokončí připojení odesláním konečného ACK: ponechá cíl viset.

všechny odpovědi SYN-ACK jsou možná otevřené porty. Odpověď RST (reset) znamená, že port je uzavřen, ale je zde živý počítač. Žádné odpovědi nenaznačují, že SYN je filtrován v síti. ICMP (nebo ping) žádná odpověď se také počítá jako filtrovaná odpověď.

TCP polootevřené skenování je výchozí skenování v NMAP.

TCP Connect

Tento port skenovací technika je v podstatě stejná jako TCP Napůl Otevřené skenování, ale místo odchodu cíl visí, port scanner, který dokončí připojení TCP.

není to tak populární technika jako POLOOTEVŘENÝ TCP. Nejprve musíte na skenování odeslat ještě jeden paket, což zvyšuje množství šumu, který v síti vytváříte. Za druhé, protože dokončíte připojení cíle, můžete vypnout alarm, že polootevřené skenování nebude.

cílové systémy s větší pravděpodobností zaznamenávají plné připojení TCP a systémy detekce narušení (IDS) podobně pravděpodobně spouštějí alarmy na několika připojeních TCP ze stejného hostitele.

výhodou skenování TCP connect je, že uživatel nepotřebuje ke spuštění stejnou úroveň oprávnění jako ke spuštění Polootevřeného skenování. Skenování TCP connect používá protokoly připojení, které musí každý uživatel připojit k jiným systémům.

UDP

UDP scany jsou pomalejší než TCP skenování, ale existuje spousta využitelných UDP služby, které mohou útočníci použít, DNS úniku, například. Obránci musí chránit své porty UDP se stejnou žravostí jako jejich porty TCP.

UDP skenování funguje nejlépe, když odešlete konkrétní užitečné zatížení do cíle. Pokud například chcete vědět, zda je server DNS spuštěn, odešlete požadavek DNS. U ostatních portů UDP je paket odeslán prázdný. Nedostupná odpověď ICMP znamená, že port je uzavřen nebo filtrován. Pokud je služba spuštěna, můžete získat odpověď UDP, což znamená, že port je otevřený. Žádná odpověď by mohla znamenat, že port je otevřený nebo filtrován.

další logické použití UDP skenování je poslat požadavek DNS na UDP port 53 a zjistit, zda dostanete odpověď DNS. Pokud dostanete odpověď, víte, že v tomto počítači je server DNS. Skenování UDP může být užitečné pro vyhledávání aktivních služeb tímto způsobem a skener portů Nmap je předkonfigurován pro odesílání požadavků na mnoho standardních služeb.

rozdíl mezi TCP a UDP

TCP a UDP jsou dva nejběžnější protokoly používané pro sítě Internet Protocol (IP). Transmission Control Protocol (TCP) je pěkný řádné transakce protokolu: TCP posílá každý paket v pořádku, kompletní s kontroly chyb, ověřování, a 3-way handshake na potvrzení každého paketu je úspěšný.

UDP nemá žádnou kontrolu chyb, ale má tendenci být rychlejší. Živé vysílání a online videohry často používají UDP z tohoto důvodu. UDP je protokol bez připojení, takže programy, které používají UDP, pouze odesílají data – a pokud vám chybí paket, už je nikdy nedostanete.

Stealth skenování

některé skenování portů je snadněji detekovatelné než jiné, takže obránci potřebují vědět o těchto vlajkách TCP, které útočníkům umožňují obtížné detekovat skenování portů.

Když odešlete skenování portu s paketem a vlajkou FIN, odešlete paket a neočekáváte odpověď. Pokud se dostanete RST, můžete předpokládat, že port je uzavřen. Pokud nedostanete nic zpět, znamená to, že port je otevřený. Firewally hledají syn pakety, takže fin pakety proklouznou nepozorovaně.

skenování X-MAS odešle paket s vlajkami FIN, URG a PUSH a očekává první nebo žádnou odpověď, stejně jako skenování FIN. Pro toto skenování není mnoho praktického využití, ale díky tomu se paket podobá vánočnímu stromku, takže je to tak.

můžete také odesílat pakety bez příznaků, nazývané null paket, a odpověď je buď RST nebo nic.

dobrá věc-pro hackera – o těchto skenech je, že se obvykle nezobrazují v protokolech. Novější software pro detekci narušení (IDS) a samozřejmě WireShark tyto skenování zachytí. Špatnou zprávou je, že pokud cíl je Microsoft OS, uvidíte pouze uzavřené porty – ale pokud si najdete otevřený port, můžete předpokládat, že to není stroj Windows. Nejvýznamnější výhodou použití těchto vlajek je, že mohou proklouznout kolem firewally, které dělá výsledky spolehlivější.

další skenovací techniky

skenování, o kterém jsme diskutovali, jsou nejběžnější, ale toto není vyčerpávající seznam. Zde jsou některé další skenování a důvody pro jejich spuštění:

  • TCP ACK scan: na mapě firewall pravidla
  • Okna protokolu TCP skenování: může rozlišovat otevřené porty z uzavřených přístavech, ale funguje pouze na menšinu systémy
  • –scanflags: pro pokročilé uživatele, který chce poslat své vlastní TCP flags v scan, můžete to udělat, že v Nmap

Port Skenování Nástroje

  1. Nmap
  2. Solarwinds Port Scanner
  3. Wifi
  4. Advanced Port Scanner
  5. NetScan Tools

Jak Detekovat Skenování Portů?

čtyři skenování portů detekce metody

Existuje několik různých technik pro detekci skenování portů, které by mohly být pokusy o skenování sítě zranitelnosti.

One je specializovaná softwarová aplikace detektoru skenování portů, jako je PortSentry nebo Scanlogd.

Netcat obsahuje funkci skenování portů, stejně jako možnost vytvořit jednoduchý chat server nebo programovat různé pakety pro účely testování.

systémy detekce narušení (IDS) jsou dalším způsobem, jak detekovat skenování portů. Hledejte ID, které používá širokou škálu pravidel k detekci různých druhů skenování portů, které nejsou založeny pouze na prahu.

proč byste měli spustit skenování portů?

měli Byste spustit skenování portů proaktivně detekovat a zavřete všechny možné zranitelnosti, které útočníci by mohl zneužít.

proaktivní skenování portů je dobrým zvykem, který byste měli opakovat pravidelně. Také, přezkumu a auditu všechny otevřené porty pro ověření, že jsou používány správně a že všechny aplikace, které používají otevřené porty jsou bezpečné a chráněné od známých zranitelností.

důsledky spuštění skenování portů

zde jsou některé upozornění na spuštění skenování portů. Některé služby nebo počítače mohou selhat při skenování portů. To je pro interní systémy více než systémy orientované na internet, ale může se to stát.

Spuštění skenování portů bez povolení může být považováno za agresivní akce, a pokud jste na sdílené síti, můžete skenovat systém, který není pod vaší kontrolou, což není dobré.

skenování portů je důležitou součástí budování dobré obrany před kybernetickými útoky. Útočníci používají také skenování portů. Musíte je porazit k úderu a uzavřít možné útočné vektory a učinit jejich životy co nejobtížnějšími.

ochrana perimetru je však pouze součástí bitvy. Musíte chránit a sledovat svá data se stejnou ostražitostí, kterou chráníte a monitorujete své porty. Varonis Data Security Platform vám pomůže chránit vaše data tím, že vytvoří vnitřní bariéry pro vaše nejcitlivější data a poté monitoruje veškerou činnost, která by mohla mít vliv na tato data.

podívejte se na naši Live Cyber Attack lab a podívejte se, jak Varonis chrání data před různými útoky.

admin

Related Posts

fizikai Geológia

7 ledna, 2022

fysikaalinen geologia

7 ledna, 2022

fysische Geologie

7 ledna, 2022

Geologia fizyczna

7 ledna, 2022

Physikalische Geologie

7 ledna, 2022

fyzikální Geologie

7 ledna, 2022

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *