a port szkenner olyan számítógépes program, amely ellenőrzi a hálózati portokat a három lehetséges állapot egyikére – nyitott, zárt vagy szűrt.

A Portszkennerek értékes eszközök a hálózati és kapcsolódási problémák diagnosztizálásában. A támadók azonban portszkennereket használnak a beszivárgás lehetséges hozzáférési pontjainak észlelésére, valamint annak azonosítására, hogy milyen eszközöket futtat a hálózaton, például tűzfalakat, proxykiszolgálókat vagy VPN-kiszolgálókat. Itt, mi elviszi a csínját-bínját egy port szkenner, beleértve:

• hogyan működik a port szkenner
• Port szkennelési technikák
• Port szkennelési eszközök
• hogyan lehet észlelni a port szkennelést
• miért kell futtatni a port scan

hogyan működik a Port szkenner?

a port szkenner hálózati kérést küld egy adott TCP vagy UDP porthoz való csatlakozásra egy számítógépen, és rögzíti a választ.

tehát a portszkenner egy csomag hálózati adatot küld egy portra az aktuális állapot ellenőrzéséhez. Ha szeretné ellenőrizni, hogy a webszerver megfelelően működik-e, ellenőrizze a 80-as port állapotát a kiszolgálón, hogy megbizonyosodjon arról, hogy nyitva van-e és hallgat.

az állapot segít a hálózatmérnököknek diagnosztizálni a hálózati problémákat vagy az alkalmazások kapcsolódási problémáit, vagy segít a támadóknak megtalálni a hálózatba való beszivárgáshoz használható lehetséges portokat.

mi az a Port?

a port egy virtuális hely, ahol a hálózati kommunikáció elindul és véget ér (dióhéjban). A mélyebb magyarázathoz egy kis háttérinformációt kell létrehoznunk. Kétféle hálózati port minden számítógépen (65,536 minden összesen 131,082 hálózati portok):

• TCP és UDP

minden számítógép rendelkezik Internet Protocol (IP) címmel, így tudja a hálózat, hogy melyik számítógépre kell csomagokat küldeni. Ha csomagot küld az IP-címre, a számítógép tudja, hogy melyik portra irányítsa a csomagot az alkalmazás vagy a csomag tartalma alapján. A számítógépen futó minden szolgáltatásnak “hallgatnia” kell egy kijelölt porton.

az első 1023 TCP port a jól ismert portok számára fenntartott alkalmazások, mint FTP(21), HTTP(80), vagy SSH (22), valamint az Internet Assigned Numbers Authority (IANA) fenntartja ezeket a pontokat, hogy tartsa őket szabványosított.

TCP portok az 1024-49151 szolgáltatások vagy alkalmazások számára elérhető, ezeket az IANA-val regisztrálhatja, így félig fenntartottnak tekinthetők. A 49152 vagy újabb portok szabadon használhatók.

Port szkennelés alapjai

a port szkenner TCP vagy UDP hálózati csomagot küld, és megkérdezi a portot az aktuális állapotukról. A válaszok három típusa az alábbi:

1. nyitott, elfogadott: a számítógép válaszol, és megkérdezi, hogy van-e valami, amit tehet az Ön számára.
2. zárva, nem hallgatva: a számítógép azt válaszolja, hogy “ez a port jelenleg használatban van, és jelenleg nem érhető el.”
3. szűrt, leesett, Blokkolt: a számítógép nem is zavarja a választ.

A Portszkennelések általában a cyber kill lánc korai szakaszában, felderítés és behatolás során fordulnak elő. A támadók port letapogatás felismerni célok nyitott illetve nem használt portok, hogy lehet újrahasznosítani a beszivárgás, parancsnoki, illetve adatok menekülési vagy felfedezni, milyen alkalmazások futnak a számítógépen, hogy kihasználja a biztonsági rést, hogy a kérelmet.

Port szkennelési technikák

Nmap az egyik legnépszerűbb nyílt forráskódú Port szkennelési eszköz. Az Nmap számos különböző port szkennelési technikát biztosít a különböző forgatókönyvekhez.

Ping Scanner

a legegyszerűbb portszkennelés a ping szkennelés. A ping egy Internet Control Message Protocol (ICMP) echo request-bármilyen ICMP választ keres, ami azt jelzi, hogy a cél életben van. A ping scan egy automatizált robbanás sok ICMP echo kéri a különböző célokat, hogy ki válaszol. Ping vizsgál technikailag nem port szkennelési technikák, mint a legjobb, amit lehet kapni vissza, hogy van egy számítógép, a másik végén, de ez a kapcsolódó, és általában az első feladat, mielőtt csinál egy port scan.

A rendszergazdák általában letiltják az ICMP-t (ping) a tűzfalon vagy az útválasztón a külső forgalom érdekében, és nyitva hagyják a hálózaton belül. Ez gyors és könnyű kikapcsolni ezt a funkciót, és lehetetlenné teszi, hogy felderítő a hálózat így. A ping azonban hasznos hibaelhárító eszköz, kikapcsolása pedig kissé megnehezíti a hálózati problémák nyomon követését.

TCP Half Open

az egyik leggyakoribb és legnépszerűbb port szkennelési technika a TCP félig nyitott port szkennelés, amelyet néha SYN szkennelésnek neveznek. Ez egy gyors és alattomos vizsgálat, amely megpróbálja megtalálni a potenciális nyitott portokat a célszámítógépen.

a SYN csomagok egy számítógépről kérnek választ,az ACK csomag pedig válasz. Egy tipikus TCP tranzakcióban van egy SYN, egy ACK a szolgáltatásból, egy harmadik ACK pedig megerősíti a kapott üzenetet.

Ez a vizsgálat gyors és nehéz felismerni, mert soha nem fejezi be a teljes TCP 3 módon-kézfogás. A szkenner SYN üzenetet küld, és csak megjegyzi a SYN-ACK válaszokat. A szkenner nem fejezi be a kapcsolatot a végső ACK elküldésével:a célt lógva hagyja.

bármely SYN-ACK válasz esetleg nyitott port. Az RST (reset) válasz azt jelenti, hogy a port zárva van, de itt van egy élő számítógép. Egyetlen válasz sem jelzi, hogy a SYN szűrésre kerül a hálózaton. Egy ICMP (vagy ping) nincs válasz is számít szűrt válasz.

a TCP félig nyitott szkennelés az alapértelmezett szkennelés az NMAP-ban.

TCP Connect

Ez a port szkennelési technika alapvetően megegyezik a TCP félig nyitott szkennelésével, de ahelyett, hogy a célt lógná, a port szkenner befejezi a TCP kapcsolatot.

Ez nem olyan népszerű technika, mint a TCP félig nyitott. Először szkennelésenként még egy csomagot kell küldenie, ami növeli a hálózaton keletkező zaj mennyiségét. Másodszor, mivel befejezte a cél kapcsolatát, riasztást küldhet, hogy a félig nyitott szkennelés nem.

A célrendszerek nagyobb valószínűséggel naplóznak egy teljes TCP kapcsolatot, és a behatolásérzékelő rendszerek (IDS) hasonlóan nagyobb valószínűséggel váltanak ki riasztásokat ugyanazon gazdagép több TCP-kapcsolatán.

a TCP connect scan előnye, hogy a felhasználónak nincs szüksége ugyanolyan szintű jogosultságokra a futtatáshoz, mint a félig nyitott szkennelés futtatásához. TCP connect vizsgál használja a kapcsolat protokollok minden felhasználónak kell csatlakozni más rendszerekhez.

UDP

az UDP-szkennelés lassabb, mint a TCP-szkennelés, de rengeteg kihasználható UDP-szolgáltatás létezik, amelyeket a támadók használhatnak, például a DNS-exfiltration. A védőknek ugyanolyan voracitással kell megvédeniük UDP portjaikat, mint a TCP portjaik.

UDP szkennelés működik a legjobban, ha küld egy adott hasznos teher a cél. Például, ha szeretné tudni, hogy van-e DNS-kiszolgáló, DNS-kérelmet küldene. Más UDP portok esetén a csomag üres. Az ICMP elérhetetlen válasz azt jelenti, hogy a port zárt vagy szűrt. Ha fut egy szolgáltatás, akkor UDP választ kaphat, ami azt jelenti, hogy a port nyitva van. Egyetlen válasz sem jelentheti azt, hogy a port nyitott vagy szűrt.

az UDP-vizsgálat további logikus használata, ha DNS-kérést küld az UDP 53-as portjára, hogy megtudja, kap-e DNS-választ. Ha választ kap, akkor tudja, hogy van egy DNS-kiszolgáló a számítógépen. Az UDP szkennelés hasznos lehet az aktív szolgáltatások ilyen módon történő felderítéséhez, az Nmap port szkenner pedig előre konfigurálva van számos szabványos szolgáltatás iránti kérelem elküldéséhez.

A TCP és UDP közötti különbség

a TCP és UDP az Internet Protocol (IP) hálózatok két leggyakoribb protokollja. Transmission Control Protocol (TCP) egy szép rendezett tranzakciós protokoll: TCP küld minden csomagot sorrendben, kiegészítve hibaellenőrzés, ellenőrzés, és egy 3-utas kézfogás, hogy erősítse meg minden csomag sikeres.

az UDP-nek nincs hibaellenőrzése, de általában gyorsabb. Az élő közvetítés és az online videojátékok ezért gyakran használják az UDP-t. Az UDP egy connectionless protokoll, így az UDP-t használó programok csak elküldik az adatokat – és ha lemarad egy csomagról, soha többé nem kapja meg.

Stealth Scanning

egyes portszkennelések könnyebben észlelhetők, mint mások, így a védőknek tudniuk kell ezekről a TCP zászlókról, amelyek lehetővé teszik a támadók számára, hogy portszkennelésüket nehezen észleljék.

amikor egy port beolvasást küld egy csomaggal és a FIN zászlóval, akkor elküldi a csomagot, és nem vár választ. Ha nem kap egy RST, akkor feltételezhető, hogy a port zárva van. Ha semmit sem kap vissza, ez azt jelzi, hogy a port nyitva van. A tűzfalak SYN csomagokat keresnek, így a FIN csomagok észrevétlenül csúsznak át.

az X-MAS scan küld egy csomagot a FIN, URG és PUSH zászlók és elvárja, hogy egy RST vagy nincs válasz, mint a FIN scan. Nincs sok gyakorlati haszna a vizsgálat, de ez nem teszi a csomagot hasonlít egy karácsonyfa, így van, hogy.

zászlók nélküli csomagokat is küldhet, amelyeket NULL csomagnak neveznek, a válasz pedig RST vagy semmi.

a jó dolog – a hacker számára – ezekről a szkennelésekről az, hogy általában nem jelennek meg naplókban. Újabb behatolásérzékelő szoftver (IDS)és természetesen a WireShark fogja ezeket a szkenneléseket. A rossz hír az, hogy ha a cél egy Microsoft operációs rendszer, akkor csak zárt portokat fog látni – de ha nyitott portot talál, akkor feltételezheti, hogy ez nem egy Windows gép. Ezeknek a zászlóknak a legfontosabb előnye, hogy átcsúszhatnak a tűzfalakon, ami megbízhatóbbá teszi az eredményeket.

további szkennelési technikák

az általunk tárgyalt szkennelések a leggyakoribbak, de ez nem kimerítő lista. Íme néhány további vizsgálat, valamint az okok, hogy futtassa őket:

• TCP ACK scan: a térkép tűzfal rulesets
• TCP Ablak vizsgálat: tudja különböztetni a nyitott portok a zárt kapuk de csak akkor működik, egy kisebbség rendszerek
• –scanflags: a haladó felhasználói, hogy akar küldeni az egyedi TCP zászlók a vizsgálat, lehet, hogy az Nmap

Port Szkennelés Eszközök

1. az Nmap
2. Solarwinds Port Scanner
3. Netcat
4. Speciális Port Scanner
5. NetScan Eszközök

, Hogyan kell Felismerni a Port Scan?

van néhány különböző módszer a portszkennelés észlelésére, amelyek megkísérelhetik a hálózat sebezhetőségének beolvasását.

az egyik egy dedikált port scan detector szoftver alkalmazás, mint PortSentry vagy Scanlogd.

Netcat magában port szkennelés funkció, valamint a képesség, hogy hozzon létre egy egyszerű chat szerver vagy program különböző csomagokat tesztelési célokra.a

behatolásérzékelő rendszerek (IDS) egy másik módja a portszkennelések észlelésének. Keressen egy azonosítót, amely a szabályok széles skáláját használja a különféle portvizsgálatok észlelésére,amelyek nem csupán küszöbértékek.

miért kell futtatni a Port Scan?

a portszkennelést proaktívan kell futtatnia, hogy észlelje és bezárja az összes lehetséges sebezhetőséget, amelyet a támadók kihasználhatnak.

proaktív port szkennelés egy jó szokás, hogy meg kell ismételni a rendszeres menetrend. Továbbá, ellenőrizze és ellenőrizze az összes nyitott portot annak ellenőrzésére, hogy helyesen használják-e őket, és hogy a nyitott portokat használó alkalmazások biztonságosak és védettek-e az ismert sebezhetőségektől.

A Port szkennelés futtatásának következményei

Íme néhány figyelmeztetés A port beolvasásának futtatására. Egyes szolgáltatások vagy számítógépek sikertelen lehet A port szkennelés. Ez inkább a belső rendszerekre vonatkozik, mint az internet felé néző rendszerekre, de ez megtörténhet.

a portszkennelés engedély nélküli futtatása agresszív műveletnek tekinthető, és ha megosztott hálózaton tartózkodik, előfordulhat, hogy olyan rendszert vizsgál, amely nem az Ön irányítása alatt áll, ami nem jó.

A Portszkennelések kritikus részét képezik a kibertámadások elleni jó védelem kiépítésének. A támadók portszkennereket is használnak. Meg kell verni őket, hogy az ütést, majd zárja le a lehetséges támadás Vektorok, hogy az életüket a lehető legnehezebb.

a kerület védelme azonban csak a csata része. Az adatokat ugyanolyan éberséggel kell védenie és figyelnie, mint a portokat. Varonis Data Security Platform segít megvédeni az adatokat építve belső akadályokat a legérzékenyebb adatokat, majd figyelemmel kíséri az összes tevékenység, amely hatással lehet az adatokat.

nézze meg az élő Cyber Attack labort, hogy megnézze, hogyan védi a Varonis az adatokat a különböző támadásoktól.