포트 스캐너는 컴퓨터 프로그램를 확인하는 네트워크 포트 중 하나에 대한 세 가능한 상태를 열고,닫힘 또는 필터링합니다.

포트 스캐너는 네트워크 및 연결 문제를 진단하는 데 중요한 도구입니다. 그러나,공격자를 사용하여 포트 스캐너 감지 가능 액세스 포인트에 대한 침투를 식별하는 어떤 종류의 장치에서 실행되고 있는 네트워크,방화벽과 같은 프록시 서버나 VPN 서버입니다. 여기,우리는 당신을 데려 갈 것을 통해 기능과 포트 스캐너 포함.

• 는 방법 포트 스캐너 운영
• 포트 스캐닝 기술
• 포트 스캔 도구
• 을 감지하는 방법 포트 스캔
• 왜 실행해야 합 포트 스캔

않는 방법 포트 스캐너 운영하는 일이 무엇입니까?

포트 스캐너 보내 네트워크에 연결 요청을 특정 TCP 또는 UDP 포트 컴퓨터에 기록됩니다.포트 스캐너가하는 일은 네트워크 데이터 패킷을 포트로 보내 현재 상태를 확인하는 것입니다. 하고 싶은 경우에는지 확인하는 경우 웹서버가 제대로 작동하는지,당신의 상태를 확인하 80 포트에 서버를 확인 그것은 열과 듣고 있다.

상태는 데 도움이 네트워크 진단 엔지니어 네트워크 문제 또는 응용 프로그램 연결 문제 또는 데 도움이 공격자를 발견한 가능한 포트를 사용한 침입으로 귀하의 네트워크입니다.

포트 란 무엇입니까?

포트는 네트워킹 통신이 시작되고 끝나는 가상 위치입니다(간단히 말해서). 좀 더 심층적 인 설명을 위해 약간의 배경 정보를 확립해야합니다. 각 컴퓨터에는 두 종류의 네트워크 포트가 있습니다(총 131,082 개의 네트워크 포트에 대해 각각 65,536 개):

• TCP 와 UDP

각 컴퓨터에는 IP(인터넷 프로토콜)주소,이는 네트워크가 어떻게 알고 있는 컴퓨터를 지정하여 패킷을 전송한다. IP 주소로 패킷을 보내면 컴퓨터는 응용 프로그램이나 패킷 내용을 기반으로 패킷을 라우팅 할 포트를 알고 있습니다. 컴퓨터에서 실행되는 각 서비스는 지정된 포트에서”청취”해야합니다.

첫 번째 1023TCP 포트는 잘 알려진 포트유한 응용 프로그램과 같은 FTP(21),HTTP(80),또는 SSH(22)그리고 Internet Assigned Numbers Authority(IANA)를 보유 이러한 점을 유지하는 표준화한다.

TCP 포트 1024–49151 에서 사용할 수 있는 서비스나 응용 프로그램,그리고 등록할 수 있습니다 그들은 IANA 그래서 그들은 고려 반 reserved. 포트 49152 이상은 무료로 사용할 수 있습니다.

포트 스캐닝 기본

포트 스캐너 보내 TCP 또는 UDP 네트워크 패킷고 포트에 대한의 현재 상태를 확인할 수 있습니다. 세 가지 형태의 응답은 다음과 같습니다:

1. 오픈,받아들인:컴퓨터 응답하고 묻는 것이 있다면 그것은 당신을 위해 할 수 있습니다.
2. 닫힘,듣지 않음:컴퓨터가”이 포트는 현재 사용 중이며 현재 사용할 수 없습니다.”
3. 필터링,삭제,차단:컴퓨터가 응답하는 것을 귀찮게하지 않습니다.

포트 스캔은 일반적으로 정찰 및 침입 중에 사이버 킬 체인 초기에 발생합니다. 공격자를 사용하여 포트를 검색하는 검색 대상으로 열리고 사용하지 않은 포트는 그들은 재활용에 대한 침투,명령 및 제어 및 데이터 유출하거나 무엇을 발견 응용 프로그램이 실행되는 컴퓨터에서 취약점을 악용하는 응용 프로그램.

포트 스캐닝 기술

Nmap 은 하나의 가장 인기 있는 오픈 소스 포트 스캔 도구를 사용할 수 있습니다. Nmap 은 다양한 시나리오에 대해 여러 가지 포트 스캐닝 기술을 제공합니다.

핑 스캐너

가장 간단한 포트 스캔은 핑 스캔입니다. Ping 은 ICMP(Internet Control Message Protocol)echo request–당신은 어떤 ICMP 답장을 찾고 있는데,이는 대상이 살아 있음을 나타냅니다. 핑 스캔은 응답하는 사람을보고 다른 대상에 많은 ICMP 에코 요청의 자동화 된 폭발이다. Ping 검사 없이 기술적으로 포트 스캐닝 기술,최고로 다시 얻을 수있다는 것입 컴퓨터에서 다른 말이지만,그것은 관련된 일반적으로 첫 번째 작업을 하기 전에 당신은 포트 스캔합니다.

관리자는 일반적으로 외부 트래픽에 대해 방화벽이나 라우터에서 ICMP(ping)를 비활성화하고 네트워크 내부에서 열어 둡니다. 이 기능을 끄고 이런 식으로 네트워크를 스카우트하는 것을 불가능하게하는 것은 빠르고 쉽습니다. 그러나 핑은 유용한 문제 해결 도구이며이를 끄면 네트워크 문제를 추적하는 것이 조금 더 어려워집니다.

TCP Half Open

보다 일반적이며 널리 사용되는 포트 스캔 기술 중 하나는 TCP half-open 포트 스캔이며 때로는 SYN 스캔이라고도합니다. 대상 컴퓨터에서 잠재적 인 열린 포트를 찾으려고하는 빠르고 비열한 검사입니다.

SYN 패킷은 컴퓨터에서 응답을 요청하고 ACK 패킷은 응답입니다. 일반적인 TCP 트랜잭션에는 SYN,서비스의 ACK 및 수신 된 메시지를 확인하는 세 번째 ACK 가 있습니다.

이 스캔은 전체 TCP3way-handshake 를 완료하지 못하기 때문에 빠르고 감지하기 어렵습니다. 스캐너는 SYN 메시지를 보내고 SYN-ACK 응답을 메모합니다. 스캐너는 최종 ACK 를 전송하여 연결을 완료하지 않습니다:그것은 매달려 대상을 떠난다.

모든 SYN-ACK 응답은 아마도 열린 포트입니다. Rst(재설정)응답은 포트가 닫혀 있음을 의미하지만 여기에 라이브 컴퓨터가 있습니다. 응답이 없으면 SYN 이 네트워크에서 필터링되었음을 나타냅니다. ICMP(또는 ping)no 응답은 필터링 된 응답으로도 계산됩니다.

TCP 반 개방 스캔은 NMAP 의 기본 스캔입니다.

TCP Connect

이 포트 스캐닝 기술은 기본적으로 동일하 TCP 반 열린을 스캔하지만,대신 대상을 매달려 포트 스캐너 완료되면 TCP 연결합니다.이것은 반쯤 열려있는 TCP 만큼 인기있는 기술이 아닙니다. 먼저 스캔 당 패킷을 하나 더 보내야하므로 네트워크에서 발생하는 노이즈의 양이 증가합니다. 둘째,대상의 연결을 완료 했으므로 반쯤 열린 스캔이 그렇지 않을 것이라는 경보를 트립 할 수 있습니다.

대상 시스템을 가능성이 더 높 로그에는 풀 TCP 연결,그리고 침입 탐지 시스템(ID)를 사용하는 마찬가지로 더 많은 가능성이 알람을 트리거하는 몇 가지에 TCP 연결이 동일한 호스트.

의 장점에 TCP 연결을 검사하는 사용자가 필요로 하지 않는 동일한 수준의 실행 권한이 있으로 그들을 실행합니 반 오픈 검사입니다. TCP 연결 검사는 모든 사용자가 다른 시스템에 연결하는 데 필요한 연결 프로토콜을 사용합니다.

UDP

UDP 검사는 보다 느린 TCP 검사,but there are plenty 의 악용 UDP 서비스는 공격자를 사용할 수 있는 DNS 탈출,대한 예입니다. 수비수는 TCP 포트와 동일한 voracity 로 UDP 포트를 보호해야합니다.

udp 스캔은 대상에 특정 페이로드를 보낼 때 가장 잘 작동합니다. 예를 들어 DNS 서버가 가동되었는지 알고 싶다면 DNS 요청을 보낼 것입니다. 다른 UDP 포트의 경우 패킷이 비어 있습니다. Icmp 연결할 수 없는 응답은 포트가 닫히거나 필터링되었음을 의미합니다. 실행중인 서비스가있는 경우 포트가 열려 있음을 의미하는 UDP 응답을 얻을 수 있습니다. 응답이 없으면 포트가 열려 있거나 필터링되었음을 의미 할 수 없습니다.

UDP 검사의 또 다른 논리적 인 사용은 UDP 포트 53 에 DNS 요청을 보내고 DNS 응답을 얻는 지 확인하는 것입니다. 응답을 받으면 해당 컴퓨터에 DNS 서버가 있다는 것을 알고 있습니다. UDP 검색 유용할 수 있습을 스카우트를 위한 활성 서비스하는 방법,그리고 Nmap 포트 스캐너은 미리 보내는 요청에 대한 많은 표준의 서비스.

TCP 와 UDP 의 차이점

TCP 와 UDP 는 인터넷 프로토콜(IP)네트워크에 사용되는 가장 일반적인 두 가지 프로토콜입니다. Transmission Control Protocol(TCP)입니다 좋은 질서 트랜잭션 프로토콜:TCP 보내 각 패킷 위해서는,완전한 오류 검사,검증,그리고 3-way handshake 을 확인하는 각각의 패킷은 성공적이다.

UDP 에는 오류 검사가 없지만 더 빠른 경향이 있습니다. 라이브 스트리밍 및 온라인 비디오 게임은 종종 이러한 이유로 UDP 를 사용합니다. UDP 는 연결이없는 프로토콜이므로 UDP 를 사용하는 프로그램은 데이터를 보내고 패킷을 놓치면 다시는 얻지 못할 것입니다.

스캔

어떤 포트 스캔을 더 쉽게 발견할 수 있습니다 다른 사람보다,그래서 수비수들에 대해 알 필요가 이러한 TCP 플래그를 허용하는 공격을 자신의 포트를 검색하기 어려운 검출합니다.

패킷과 FIN 플래그가있는 포트 스캔을 보내면 패킷을 보내고 응답을 기대하지 않습니다. RST 를 얻으면 포트가 닫혀 있다고 가정 할 수 있습니다. 아무것도 다시 얻지 못하면 포트가 열려 있음을 나타냅니다. 방화벽은 SYN 패킷을 찾고 있으므로 FIN 패킷은 감지되지 않은 상태로 빠져 나옵니다.

X-MAS 스캔은 FIN,URG 및 PUSH 플래그가있는 패킷을 보내고 FIN 스캔과 마찬가지로 RST 또는 no 응답을 기대합니다. 이 스캔에 대한 실용적인 용도는 많지 않지만 패킷을 크리스마스 트리와 비슷하게 만들므로 거기에 있습니다.

NULL 패킷이라고하는 플래그가없는 패킷을 보낼 수도 있으며 응답은 RST 또는 아무것도 아닙니다.

좋은 점은 해커에게 이러한 스캔에 대해 일반적으로 로그에 표시되지 않는다는 것입니다. 더 최근의 침입 탐지 소프트웨어(IDS)와 물론 WireShark 는 이러한 검사를 잡을 것입니다. 나쁜 소식은 그상적으로 작동하지 않는다면 Microsoft OS,당신은 당신이 볼 폐 포트–하지만 당신을 찾아 포트를 열었다고 가정할 수 있습니다 그것은 Windows 기계입니다. 가장 중요한 장점은 이러한 플래그를 사용하는 그들이 풀 수 있는 과거의 방화벽하게하는,결과 더 많은 신뢰할 수 있습니다.

추가 스캔 기술

우리가 논의한 스캔은 가장 일반적이지만 완전한 목록은 아닙니다. 다음은 몇 가지 더 많은 검사와이를 실행하는 이유입니다:

• TCP ACK 검색:하는 지도 방화벽 규칙
• TCP 창 검사:분화할 수 있는 열린 포트에서 포트는 그러나에서 작동하는 소수민족의 시스템
• –scanflags:급하고자 하는 사용자를 보내 그들의 사용자 정의 TCP 플래그에서 검색 를 수행할 수 있습니 Nmap

포트 스캔 도구

1. Nmap
2. 름으로 데이터베이스에 등록되어 포트 스캐너
3. Netcat
4. 고급 포트 스캐너
5. NetScan 도구

을 감지하는 방법 포트 스캔?

거기에 몇 가지 다른 기술을 감지하는 포트를 검색할 수 있는 시도하는 검사를 위한 네트워크 취약성을 검사합니다.

하나는 PortSentry 또는 Scanlogd 와 같은 전용 포트 스캔 감지기 소프트웨어 응용 프로그램입니다.

Netcat 포함 포트 스캔 기능뿐만 아니라를 만들 수있는 기능을 간단한 채팅을 서버 또는 프로그램이 다른 패킷이 필요합니다.

침입 탐지 시스템(IDS)은 포트 스캔을 감지하는 또 다른 방법입니다. 다양한 규칙을 사용하여 단순히 임계값 기반이 아닌 다양한 종류의 포트 검사를 감지하는 ID 를 찾습니다.

왜 포트 스캔을 실행해야합니까?

포트 검사를 사전에 실행하여 공격자가 악용 할 수있는 모든 가능한 취약점을 탐지하고 닫아야합니다.

능동적 인 포트 스캐닝은 정기적 인 일정에 따라 반복해야하는 좋은 습관입니다. 또한,검토 및 감사 열려있는 모든 포트를 확인들이 올바르게 사용하고 있는 응용 프로그램을 사용하는 열려있는 포트가 안전하고 보호에서 알려진 취약성을 검사합니다.

포트 스캔 실행의 의미

다음은 포트 스캔 실행에 대한 몇 가지주의 사항입니다. 포트 검사에서 일부 서비스 또는 컴퓨터가 실패할 수 있습니다. 이것은 인터넷 대면 시스템보다 내부 시스템을위한 것이지만 일어날 수 있습니다.

실행하는 포트를 검사하지 않고 인증할 수 있습으로 간주 될 공격적인 행동과는 경우에는 공유 네트워크할 수 있습 검사 시스템에 없는 당신의 통제하에는 좋지 않습니다.

포트 스캔은 사이버 공격으로부터 좋은 방어를 구축하는 데 중요한 부분입니다. 공격자뿐만 아니라 포트 스캔을 사용하고 있습니다. 당신은 펀치에 그들을 이길 가능한 공격 벡터를 닫고 가능한 한 어려운 자신의 삶을 확인해야합니다.그러나 주변을 보호하는 것은 전투의 일부일뿐입니다. 포트를 보호하고 모니터링하는 것과 동일한 경계로 데이터를 보호하고 모니터링해야합니다. Varonis 데이터 보안 플랫폼에 데이터를 보호하는 데 도움이 됩 구축하여 내부에 장벽을 가장 중요한 데이터는 다음 모니터링 모든 활동에 영향을 미칠 수 있는 데이터입니다.

Varonis 가 다른 공격으로부터 데이터를 보호하는 방법을 보려면 라이브 사이버 공격 연구소를 확인하십시오.