porttiskanneri on tietokoneohjelma, joka tarkistaa verkkoportit yhdestä kolmesta mahdollisesta tilasta – avoimesta, suljetusta tai suodatetusta.

Porttiskannerit ovat arvokkaita työkaluja verkko-ja yhteysongelmien diagnosoinnissa. Hyökkääjät käyttävät kuitenkin porttiskannereita havaitakseen mahdolliset tunkeutumispisteet ja tunnistaakseen, millaisia laitteita käytät verkossa, kuten palomuureja, välityspalvelimia tai VPN-palvelimia. Here, we ’ ll take you through the ins and outs of a port scanner, including:

• miten porttiskanneri toimii
• Porttiskannaustekniikat
• Porttiskannaustyökalut
• miten porttiskannaus havaitaan
• miksi porttiskannaus kannattaa suorittaa

miten Porttiskanneri toimii?

porttiskanneri lähettää verkkopyynnön yhteyden muodostamiseksi tiettyyn TCP-tai UDP-porttiin tietokoneella ja tallentaa vastauksen.

porttiskanneri siis lähettää paketin verkon dataa porttiin tarkistaakseen nykyisen tilan. Jos haluat tarkistaa, toimiiko www-palvelimesi oikein, tarkistaisit portin 80 tilan kyseisellä palvelimella varmistaaksesi, että se on auki ja kuuntelee.

tila auttaa verkkoinsinöörejä diagnosoimaan verkkoongelmia tai sovellusten yhteysongelmia tai auttaa hyökkääjiä löytämään mahdollisia portteja, joita voidaan käyttää tunkeutumiseen verkkoon.

mikä on portti?

portti on virtuaalinen paikka, jossa verkkoviestintä alkaa ja päättyy (pähkinänkuoressa). Perusteellisempaa selitystä varten meidän on selvitettävä hieman taustatietoja. On olemassa kahdenlaisia verkkoportit kussakin tietokoneessa (65,536 kunkin yhteensä 131,082 verkkoportit):

• TCP ja UDP

jokaisella tietokoneella on Internet-protokolla (IP) – osoite, jonka avulla verkko tietää, mihin tietokoneeseen paketteja voi lähettää. Jos lähetät paketin IP-osoitteeseen, tietokone tietää sovelluksen tai paketin sisällön perusteella, mihin porttiin paketin voi reitittää. Jokainen tietokoneella toimiva palvelu tarvitsee” kuunnella ” nimettyä porttia.

ensimmäiset 1023 TCP-porttia ovat tunnettuja sovelluksia varten varattuja portteja, kuten FTP(21), HTTP(80) tai SSH(22), ja Internet Assigned Numbers Authority (Iana) varaa nämä pisteet pitääkseen ne standardoituina.

TCP – portit 1024-49151 ovat palveluiden tai sovellusten käytettävissä, ja ne voi rekisteröidä IANA: lle, joten niitä pidetään puolivarattuina. Portteja 49152 ja uudemmat ovat vapaasti käytettävissä.

Porttiskannauksen perusteet

porttiskanneri lähettää TCP-tai UDP-verkkopaketin ja kysyy portilta niiden nykytilaa. Seuraavat kolme vastaustyyppiä ovat:

1. avoin, hyväksytty: tietokone vastaa ja kysyy, voiko se tehdä jotain hyväksesi.
2. suljettu, ei kuunneltu: tietokone vastaa, että ”tämä portti on tällä hetkellä käytössä ja poissa käytöstä tällä hetkellä.”
3. suodatettu, pudotettu, estetty: tietokone ei edes vaivaudu vastaamaan.

porttiskannaukset tapahtuvat yleensä kybertappoketjun alkuvaiheessa, tiedustelun ja tunkeutumisen aikana. Hyökkääjät käyttävät porttiskannauksia havaitakseen kohteet, joissa on avoimet ja käyttämättömät portit, joita he voivat käyttää uudelleen tunkeutumiseen, komentamiseen ja hallintaan sekä tietojen poistoon, tai selvittääkseen, mitä sovelluksia kyseisessä tietokoneessa ajetaan, hyödyntääkseen kyseisen sovelluksen haavoittuvuutta.

Porttiskannaustekniikat

Nmap on yksi suosituimmista saatavilla olevista avoimen lähdekoodin porttiskannaustekniikoista. Nmap tarjoaa useita erilaisia porttiskannaustekniikoita eri skenaarioille.

Ping-skanneri

yksinkertaisimpia porttiskannauksia ovat ping-skannaukset. Ping on Internet Control Message Protocol (ICMP) echo request – etsit ICMP: n vastauksia, mikä osoittaa, että kohde on elossa. Ping scan on automaattinen räjähdys monista ICMP echo pyyntöjä eri kohteisiin nähdä, kuka vastaa. Ping skannaa eivät ole teknisesti port skannaus tekniikoita, koska paras voit saada takaisin on, että on tietokone toisessa päässä, mutta se liittyy ja yleensä ensimmäinen tehtävä ennen kuin teet port scan.

järjestelmänvalvojat yleensä poistavat ICMP: n (ping) käytöstä joko palomuurissa tai reitittimessä ulkoista liikennettä varten ja jättävät sen auki verkon sisällä. Se on nopea ja helppo sammuttaa tämän toiminnon ja tehdä mahdottomaksi scout verkon tällä tavalla. Ping on kuitenkin hyödyllinen vianmääritystyökalu, ja sen sammuttaminen tekee verkko-ongelmien jäljittämisestä hieman vaikeampaa.

TCP puoliavoin

yksi yleisemmistä ja suositummista porttiskannaustekniikoista on TCP puoliavoin porttiskannaus, jota joskus kutsutaan SYN-skannaukseksi. Se on nopea ja ovela skannaus, joka yrittää löytää mahdollisia avoimia portteja kohdetietokoneessa.

syn-paketit pyytävät vastausta tietokoneelta, ja ACK-paketti on vastaus. Tyypillisessä TCP-kaupassa on SYN, ACK palvelusta ja kolmas ACK vahvistusviesti vastaanotettuna.

tämä skannaus on nopea ja vaikea havaita, koska se ei koskaan suorita täyttä TCP 3-tapaa-kättelyä. Skanneri lähettää syn-viestin ja vain toteaa SYN-ACK-vastaukset. Skanneri ei täydennä yhteyttä lähettämällä viimeisen ACK:n: se jättää kohteen roikkumaan.

mahdolliset SYN-ACK-vastaukset ovat mahdollisesti avoimia portteja. RST (reset) – vastaus tarkoittaa, että portti on suljettu, mutta täällä on elävä tietokone. No responses indicate SYN on suodatettu verkkoon. ICMP (tai ping) no response lasketaan myös suodatettu vastaus.

TCP: n puoliavoimet skannaukset ovat Nmap: n oletuskannaus.

TCP Connect

tämä porttiskannaustekniikka on periaatteessa sama kuin TCP: n puoliavoin skannaus, mutta sen sijaan että kohde jätettäisiin roikkumaan, porttiskanneri täydentää TCP-yhteyden.

se ei ole yhtä suosittu tekniikka kuin TCP: n puoliavoin. Ensin sinun täytyy lähettää yksi paketti lisää skannausta kohti, mikä lisää metelin määrää, jota teet verkossa. Toiseksi, koska saat kohteen yhteyden valmiiksi, saatat laukaista hälytyksen, jota puoliavoin skannaus ei laukaisisi.

kohdejärjestelmät kirjaavat todennäköisemmin täyden TCP-yhteyden, ja intrusion detection systems (IDS) laukaisee vastaavasti todennäköisemmin hälytyksiä useissa TCP-yhteyksissä samasta isännästä.

TCP connect-skannauksen etuna on se, että käyttäjä ei tarvitse suoritukseensa samantasoisia oikeuksia kuin Puoliavoimen skannauksen suorittamiseen. TCP connect-skannaukset käyttävät yhteysprotokollia, joiden avulla käyttäjän tulee muodostaa yhteys muihin järjestelmiin.

UDP

UDP-skannaukset ovat hitaampia kuin TCP-skannaukset, mutta on olemassa paljon hyödynnettäviä UDP-palveluita, joita hyökkääjät voivat käyttää, esimerkiksi DNS-tyhjennys. Puolustajien on suojattava UDP-porttejaan samalla voracitylla kuin TCP-porttejaan.

UDP-skannaus toimii parhaiten, kun kohteeseen lähetetään tietty hyötykuorma. Jos esimerkiksi haluat tietää, onko DNS-palvelin ylhäällä, lähettäisit DNS-pyynnön. Muille UDP-porteille paketti lähetetään tyhjänä. ICMP: n saavuttamaton vastaus tarkoittaa, että portti on suljettu tai suodatettu. Jos palvelu on käynnissä, saatat saada UDP-vastauksen, mikä tarkoittaa, että portti on auki. Mikään vastaus ei voi tarkoittaa, että portti on auki tai suodatettu.

yksi loogisempi UDP-skannauksen käyttö on lähettää DNS-pyyntö UDP-porttiin 53 ja katsoa, saatko DNS-vastauksen. Jos saat vastauksen, tiedät, että tietokoneessa on DNS-palvelin. UDP-skannaus voi olla hyödyllinen aktiivipalvelujen tiedusteluun tällä tavalla, ja Nmap-porttiskanneri on esiasetettu lähettämään pyyntöjä monista standardipalveluista.

ero TCP: n ja UDP: n välillä

TCP ja UDP ovat kaksi yleisintä Internet Protocol (IP) – verkoissa käytössä olevaa protokollaa. Transmission Control Protocol (TCP) on mukava hallittu tapahtumaprotokolla: TCP lähettää jokaisen paketin järjestyksessä, täydellisenä virheiden tarkistuksella, vahvistuksella ja 3-tie kädenpuristus vahvistaa kunkin paketin on onnistunut.

UDP: ssä ei ole virhetarkistusta, mutta se on yleensä nopeampi. Suoratoisto ja nettivideopelit käyttävät UDP: tä usein tästä syystä. UDP on yhteyskäytäntö, joten UDP: tä käyttävät ohjelmat vain lähettävät tiedot – ja jos unohdat paketin, et saa sitä enää koskaan.

Stealth Scanning

jotkut porttiskannaukset ovat helpompia havaita kuin toiset, joten puolustajien on tiedettävä näistä TCP-lipuista, joiden avulla hyökkääjät voivat tehdä porttiskannauksistaan vaikeasti havaittavia.

kun lähetät porttiskannauksen paketin ja FIN-lipun kanssa, lähetät paketin odottamatta vastausta. Jos saat RST, voit olettaa, että portti on suljettu. Jos ette saa mitään takaisin, portti on auki. Palomuurit etsivät SYN-paketteja, joten EVÄPAKKAUKSET livahtavat huomaamatta läpi.

X-MAS-skannaus lähettää paketin, jossa on fin -, URG-ja PUSH-liput ja odottaa RST-vastausta tai ei vastausta, aivan kuten FIN-skannaus. Ei ole paljon käytännön hyötyä tämän skannauksen, mutta se tekee paketin muistuttaa joulukuusi, niin on, että.

Voit myös lähettää paketteja, joissa ei ole lippua eli NOLLAPAKETTI, ja vastaus on joko RST tai ei mitään.

hakkerin kannalta hyvä puoli näissä skannauksissa on se, että ne eivät yleensä näy lokeissa. Uudemmat tunkeutumisen Tunnistusohjelmat (IDS) ja tietenkin WireShark tallentavat nämä skannaukset. Huono uutinen on, että jos kohde on Microsoft – käyttöjärjestelmä, näet vain suljetut portit-mutta jos löydät avoimen portin, voit olettaa, että se ei ole Windows-kone. Merkittävin etu näiden lippujen käytössä on se, että ne voivat livahtaa palomuurien ohi, mikä tekee tuloksista luotettavampia.

Lisälaskentatekniikat

käsittelemämme skannaukset ovat yleisimpiä, mutta tämä luettelo ei ole tyhjentävä. Tässä muutamia skannauksia ja syitä ajaa niitä:

• TCP ACK scan: to map firewall rulesets
• TCP Window scan: voi erottaa avoimet portit suljetuista porteista, mutta toimii vain vähemmistö järjestelmistä
• –scanflags: edistyneelle käyttäjälle, joka haluaa lähettää omat TCP-lippunsa skannauksessa, voit tehdä sen Nmap: ssa

Porttiskannaustyökalut

1. Nmap
2. Solarwinds Porttiskannerissa
3. netcat
4. Advanced Port Scanner
5. NetScan tools

miten porttiskannaus havaitaan?

porttiskannausten havaitsemiseen on muutamia erilaisia tekniikoita, jotka voivat olla yrityksiä skannata verkosta haavoittuvuuksia.

One on oma Port scan detector-ohjelmistosovellus, kuten PortSentry tai Scanlogd.

Netcat sisältää porttiskannaustoiminnon sekä mahdollisuuden luoda yksinkertainen chat-palvelin tai ohjelmoida erilaisia paketteja testaustarkoituksiin.

Intrusion detection systems (IDS) on toinen tapa havaita porttiskannaukset. Etsi tunnukset, joka käyttää monenlaisia sääntöjä havaita erilaisia port skannaa, jotka eivät ole vain kynnysperusteinen.

miksi porttiskannaus kannattaa suorittaa?

porttiskannaukset kannattaa suorittaa ennakoivasti kaikkien hyökkääjien mahdollisesti hyödyntämien haavoittuvuuksien havaitsemiseksi ja sulkemiseksi.

proaktiivinen porttiskannaus on hyvä tapa, joka kannattaa toistaa säännöllisellä aikataululla. Tarkista ja tarkista myös kaikki avoimet portit varmistaaksesi, että niitä käytetään oikein ja että kaikki sovellukset, jotka käyttävät avoimia portteja, ovat suojattuja ja suojattuja tunnetuilta haavoittuvuuksilta.

Porttiskannauksen ajamisen vaikutukset

tässä on joitakin varoituksia porttiskannauksen suorittamiselle. Jotkin palvelut tai tietokoneet saattavat epäonnistua porttiskannauksessa. Tämä on sisäisten järjestelmien enemmän kuin internet-päin järjestelmiä, mutta se voi tapahtua.

porttiskannausten suorittamista ilman valtuutusta voidaan pitää aggressiivisena toimintana, ja jos olet jaetussa verkossa, saatat skannata järjestelmän, joka ei ole hallinnassasi, mikä ei ole hyvä.

porttiskannaukset ovat tärkeä osa hyvän puolustuksen rakentamista kyberhyökkäyksiltä. Hyökkääjät käyttävät myös porttiskannauksia. Sinun täytyy voittaa heidät booli ja sulkea mahdolliset hyökkäys vektorit ja tehdä heidän elämänsä mahdollisimman vaikeaa.

alueen suojaaminen on kuitenkin vain osa taistelua. Sinun on suojattava ja seurattava tietojasi samalla valppaudella kuin suojaat ja valvot porttejasi. Varonis-tietoturva-alusta auttaa sinua suojaamaan tietojasi rakentamalla sisäisiä esteitä arkaluonteisimmille tiedoillesi ja valvomalla sitten kaikkea toimintaa, joka voi vaikuttaa näihin tietoihin.

Katso Live Cyber Attack lab-sivustolta, miten Varonis suojaa dataa eri hyökkäyksiltä.