en portscanner er et computerprogram, der kontrollerer netværksporte for en af tre mulige statuser – åben, lukket eller filtreret.portscannere er værdifulde værktøjer til diagnosticering af netværks-og forbindelsesproblemer. Angribere bruger dog portscannere til at registrere mulige adgangspunkter til infiltration og til at identificere, hvilke typer enheder du kører på netværket, som f.eks. Her tager vi dig gennem ins og outs af en port scanner, herunder:

• Sådan fungerer en portscanner
• Portscanningsteknikker
• Portscanningsværktøjer
• Sådan registreres en portscanning
• hvorfor skal du køre en portscanning

Hvordan fungerer en portscanner?

en portscanner sender en netværksanmodning om at oprette forbindelse til en bestemt TCP-eller UDP-port på en computer og registrerer svaret.

så hvad en portscanner gør, er at sende en pakke netværksdata til en port for at kontrollere den aktuelle status. Hvis du ønskede at kontrollere, om din server fungerede korrekt, ville du kontrollere status for port 80 på den pågældende server for at sikre, at den var åben og lyttende.status hjælper netværksingeniører med at diagnosticere netværksproblemer eller problemer med applikationsforbindelse eller hjælper angribere med at finde mulige porte, der kan bruges til infiltration i dit netværk.

Hvad er en Port?

en port er en virtuel placering, hvor netværkskommunikation starter og slutter (i en nøddeskal). For en mere dybdegående forklaring er vi nødt til at etablere lidt baggrundsinformation. Der er to slags netværksporte på hver computer (65.536 af hver for i alt 131.082 netværksporte):

• TCP og UDP

hver computer har en IP-adresse (Internet Protocol), hvilket er, hvordan netværket ved, hvilken computer der skal sendes pakker til. Hvis du sender en pakke til IP-adressen, ved computeren, hvilken port pakken skal dirigeres til baseret på applikationen eller pakkeindholdet. Hver tjeneste, der kører på computeren, skal “lytte” på en udpeget port.

de første 1023 TCP-porte er de velkendte porte, der er forbeholdt applikationer som FTP(21), HTTP(80) eller SSH(22), og Internet Assigned Numbers Authority (IANA) forbeholder sig disse punkter for at holde dem standardiserede.

TCP – porte 1024-49151 er tilgængelige til brug af tjenester eller applikationer, og du kan registrere dem hos IANA, så de betragtes som semi-reserverede. Porte 49152 og højere er gratis at bruge.

Grundlæggende om portscanning

en portscanner sender en TCP-eller UDP-netværkspakke og spørger porten om deres aktuelle status. De tre typer svar er nedenfor:

1. åben, accepteret: computeren reagerer og spørger, om der er noget, den kan gøre for dig.
2. Lukket, ikke lytter: computeren svarer, at “denne port er i øjeblikket i brug og utilgængelig på dette tidspunkt.”
3. filtreret, droppet, blokeret: computeren gider ikke engang at svare.

portscanninger forekommer generelt tidligt i cyber kill-kæden under rekognoscering og indtrængen. Angribere bruger portscanninger til at registrere mål med åbne og ubrugte porte, som de kan genbruge til infiltration, kommando og kontrol og dataudfiltrering eller opdage, hvilke applikationer der kører på den computer for at udnytte en sårbarhed i den applikation.

port Scanning teknikker

Nmap er en af de mest populære open source port scanning værktøjer til rådighed. Nmap giver en række forskellige port scanning teknikker til forskellige scenarier.

Ping Scanner

de enkleste portscanninger er ping-scanninger. En ping er en Internet Control Message Protocol (ICMP) ekkoanmodning – du leder efter ICMP-svar, hvilket indikerer, at målet er i live. En ping-scanning er en automatiseret eksplosion af mange ICMP-ekkoanmodninger til forskellige mål for at se, hvem der reagerer. Ping-scanninger er ikke teknisk portscanningsteknikker, da det bedste du kan komme tilbage er, at der er en computer i den anden ende, men det er relateret og normalt den første opgave, før du foretager en portscanning.

administratorer deaktiverer normalt ICMP (ping) enten på brandvæggen eller på routeren for ekstern trafik, og de lader den være åben inde i netværket. Det er hurtigt og nemt at slukke for denne funktionalitet og gøre det umuligt at spejde netværket på denne måde. Ping er dog et nyttigt fejlfindingsværktøj, og at slukke for det gør det lidt vanskeligere at spore netværksproblemer.

TCP Half Open

en af de mere almindelige og populære portscanningsteknikker er TCP half-open port scan, undertiden benævnt en SYN scan. Det er en hurtig og lusket scanning, der forsøger at finde potentielle åbne porte på målcomputeren.

SYN-pakker anmoder om et svar fra en computer, og en ACK-pakke er et svar. I en typisk TCP-transaktion er der en SYN, en ACK fra tjenesten og en tredje ACK-bekræftelsesmeddelelse modtaget.

denne scanning er hurtig og svær at opdage, fordi den aldrig fuldender det fulde TCP 3-håndtryk. Scanneren sender en SYN-besked og noterer kun SYN-ACK-svarene. Scanneren afslutter ikke forbindelsen ved at sende den endelige ACK: den lader målet hænge.

eventuelle SYN-ACK-svar er muligvis åbne porte. Et første (reset) svar betyder, at porten er lukket, men der er en live computer her. Ingen svar angiver SYN filtreres på netværket. En ICMP (eller ping) intet svar tæller også som et filtreret svar.

TCP halvåbne scanninger er standard scanningen i NMAP.

TCP Connect

denne portscanningsteknik er stort set den samme som TCP-halvåbnet scanning, men i stedet for at lade målet hænge, afslutter portscanneren TCP-forbindelsen.

det er ikke så populært en teknik som TCP halvåben. Scan, hvilket øger mængden af støj, du laver på netværket. For det andet, da du fuldfører målets forbindelse, kan du muligvis udløse en alarm, som den halvåbne scanning ikke ville.

målsystemer er mere tilbøjelige til at logge en fuld TCP-forbindelse, og intrusion detection systems (IDS) er ligeledes mere tilbøjelige til at udløse alarmer på flere TCP-forbindelser fra den samme vært.

fordelen ved TCP connect-scanningen er, at en bruger ikke har brug for det samme niveau af privilegier for at køre, som de gør for at køre den halvåbne scanning. TCP connect-scanninger bruger forbindelsesprotokollerne, som enhver bruger skal have til at oprette forbindelse til andre systemer.

UDP

UDP-scanninger er langsommere end TCP-scanninger, men der er masser af udnyttelige UDP-tjenester, som angribere kan bruge, f.eks. Forsvarere skal beskytte deres UDP-porte med samme voracity som deres TCP-porte.

UDP-scanninger fungerer bedst, når du sender en bestemt nyttelast til målet. For eksempel, hvis du vil vide, om en DNS-server er op, vil du sende en DNS-anmodning. For andre UDP-porte sendes pakken tom. Et ICMP-uopnåeligt svar betyder, at porten er lukket eller filtreret. Hvis der kører en tjeneste, får du muligvis et UDP-svar, hvilket betyder, at porten er åben. Intet svar kan betyde, at porten er åben eller filtreret.

en mere logisk brug af en UDP-scanning er at sende en DNS-anmodning til UDP port 53 og se om du får et DNS-svar. Hvis du får et svar, ved du, at der er en DNS-server på den computer. En UDP-scanning kan være nyttig til at spejde efter aktive tjenester på den måde, og Nmap-portscanneren er forudkonfigureret til at sende anmodninger om mange standardtjenester.

forskel mellem TCP og UDP

TCP og UDP er de to mest almindelige protokoller, der bruges til internetprotokol (IP) netværk. Transmission Control Protocol (TCP) er en god ordnet transaktionsprotokol: TCP sender hver pakke i rækkefølge, komplet med fejlkontrol, verifikation og et 3-vejs håndtryk for at bekræfte, at hver pakke er vellykket.

UDP har ingen fejlkontrol, men har tendens til at være hurtigere. Live streaming og online videospil bruger ofte UDP af denne grund. UDP er en forbindelsesløs protokol, så programmer, der bruger UDP, sender bare dataene – og hvis du går glip af en pakke, får du den aldrig igen.

Stealth Scanning

nogle portscanninger er lettere at opdage end andre, så forsvarere har brug for at vide om disse TCP-flag, der gør det muligt for angribere at gøre deres portscanninger vanskelige at opdage.

når du sender en portscanning med en pakke og FINFLAGGET, sender du pakken og forventer ikke et svar. Hvis du får en første, kan du antage, at porten er lukket. Hvis du ikke får noget tilbage, indikerer det, at porten er åben. Brandvægge leder efter SYN-pakker, så FINPAKKER glider gennem uopdaget.scanningen sender en pakke med FIN -, URG-og PUSH-flag og forventer et første eller intet svar, ligesom FIN-scanningen. Der er ikke meget praktisk brug for denne scanning, men det får pakken til at ligne et juletræ, så der er det.

Du kan også sende pakker uden flag, kaldet en NULL-pakke, og svaret er enten en første eller intet.

det gode – for hackeren-ved disse scanninger er, at de normalt ikke vises i logfiler. IDS (Intrusion Detection Programmel) og selvfølgelig vil vi fange disse scanninger. Den dårlige nyhed er, at hvis målet er et Microsoft OS, vil du kun se lukkede porte – men hvis du finder en åben port, kan du antage, at det ikke er en Vinduer maskine. Den væsentligste fordel ved at bruge disse flag er, at de kan glide forbi brandvægge, hvilket gør resultaterne mere pålidelige.

yderligere scanningsteknikker

de scanninger, vi diskuterede, er de mest almindelige, men dette er ikke en udtømmende liste. Her er nogle flere scanninger og grundene til at køre dem:

• TCP ACK scan: kan differentiere åbne porte fra lukkede porte, men fungerer kun på et mindretal af systemer
• –scanflags: for den avancerede bruger, der ønsker at sende deres brugerdefinerede TCP-flag i en scanning, kan du gøre det i Nmap

Portscanningsværktøjer

1. Nmap
3. netcat
4. avanceret portscanner
5. netscan tools

Sådan registreres en portscanning?

Der er et par forskellige teknikker til at registrere portscanninger, som kan være forsøg på at scanne dit netværk for sårbarheder.

One er en dedikeret port scan detector program, ligesom PortSentry eller Scanlogd.

Netcat inkluderer portscanningsfunktionalitet samt muligheden for at oprette en simpel chatserver eller programmere forskellige pakker til testformål.Intrusion detection systems (IDS) er en anden måde at registrere portscanninger på. Se efter et ID ‘ er, der bruger en lang række regler til at registrere de forskellige slags portscanninger, der ikke kun er tærskelbaserede.

hvorfor skal du køre en portscanning?

Du skal køre portscanninger proaktivt for at opdage og lukke alle mulige sårbarheder, som angribere kan udnytte.

proaktiv portscanning er en god vane, som du skal gentage på en regelmæssig tidsplan. Også, gennemgå og revidere alle åbne porte for at kontrollere, at de bliver brugt korrekt, og at alle programmer, der bruger åbne porte er sikre og beskyttet mod kendte sårbarheder.

implikationer af at køre en portscanning

Her er nogle advarsler til at køre portscanninger. Nogle tjenester eller computere mislykkes muligvis fra en portscanning. Dette er mere for interne systemer end internetvendte systemer, men det kan ske.

kørsel af portscanninger uden tilladelse kan betragtes som en aggressiv handling, og hvis du er på et delt netværk, kan du scanne et system, der ikke er under din kontrol, hvilket ikke er godt.

portscanninger er en kritisk del af opbygningen af et godt forsvar mod cyberangreb. Angribere bruger også portscanninger. Du er nødt til at slå dem til punch og lukke mulige angrebsvektorer og gøre deres liv så vanskeligt som muligt.

beskyttelse af omkredsen er dog kun en del af kampen. Du skal beskytte og overvåge dine data med den samme årvågenhed, som du beskytter og overvåger dine Porte. Varonis Datasikkerhedsplatform hjælper dig med at beskytte dine data ved at opbygge interne barrierer for dine mest følsomme data og derefter overvåge al aktivitet, der kan påvirke disse data.

tjek vores live Cyber Attack lab for at se, hvordan Varonis beskytter data mod forskellige angreb.