en portskanner er et dataprogram som sjekker nettverksporter for en av tre mulige statuser-åpen, lukket eller filtrert.

Portskannere er verdifulle verktøy for å diagnostisere nettverks-og tilkoblingsproblemer. Angripere bruker imidlertid portskannere for å oppdage mulige tilgangspunkter for infiltrasjon og for å identifisere hvilke typer enheter du kjører på nettverket, som brannmurer, proxy-servere eller VPN-servere. Her vil vi ta deg gjennom moduler og outs av en port skanner, inkludert:

• Hvordan en port skanner opererer
• port skanning teknikker
• port skanning verktøy
• hvordan oppdage en port scan
• Hvorfor du bør kjøre en port scan

Hvordan Fungerer En Port Skanner?

en portskanner sender en nettverksforespørsel for å koble til en bestemt tcp-eller UDP-port på en datamaskin og registrerer svaret.

så hva en portskanner gjør er å sende en pakke med nettverksdata til en port for å sjekke gjeldende status. Hvis du ønsket å sjekke for å se om webserveren din fungerte riktig, ville du sjekke statusen til port 80 på den serveren for å sikre at den var åpen og lyttet.

statusen hjelper nettverksingeniører med å diagnostisere nettverksproblemer eller problemer med programtilkobling, eller hjelper angripere med å finne mulige porter som kan brukes til infiltrasjon i nettverket.

Hva Er En Port?

en port er en virtuell plassering der nettverkskommunikasjon starter og slutter (i et nøtteskall). For en mer grundig forklaring må vi etablere litt bakgrunnsinformasjon. Det finnes to typer nettverksporter på hver datamaskin (65 536 av hver for totalt 131 082 nettverksporter):

• TCP og UDP

Hver datamaskin har En Ip-adresse, som er hvordan nettverket vet hvilken datamaskin som skal sende pakker til. Hvis du sender en pakke TIL IP-adressen, vet datamaskinen hvilken port som skal rute pakken til, basert på programmet eller pakkeinnholdet. Hver tjeneste som kjører på datamaskinen, må «lytte» på en utpekt port.De første 1023 tcp-portene er de velkjente portene som er reservert for PROGRAMMER som FTP(21), HTTP(80) eller SSH(22), Og Internet Assigned Numbers Authority (Iana) reserverer disse punktene for å holde dem standardiserte.

TCP-porter 1024 – 49151 er tilgjengelige for bruk av tjenester eller applikasjoner, og du kan registrere dem hos IANA, så de anses som semi-reservert. Porter 49152 og høyere er gratis å bruke.

Grunnleggende Om Portskanning

en portskanner sender EN tcp-eller UDP-nettverkspakke og spør porten om gjeldende status. De tre typene svar er under:

1. Åpen, Akseptert: datamaskinen svarer og spør om det er noe det kan gjøre for deg.
2. Lukket, Lytter Ikke: datamaskinen svarer at » denne porten er i bruk og utilgjengelig for øyeblikket.»
3. Filtrert, Droppet, Blokkert: datamaskinen bryr seg ikke engang om å svare.

Portskanninger oppstår vanligvis tidlig i cyber kill-kjeden, under rekognosering og inntrenging. Angripere bruker portskanninger for å oppdage mål med åpne og ubrukte porter som de kan gjenbruke for infiltrering, kommando og kontroll og dataeksfiltrering, eller oppdage hvilke programmer som kjører på den datamaskinen for å utnytte et sikkerhetsproblem i det programmet.

Port Skanning Teknikker

Nmap er en av de mest populære open-source port skanning verktøy tilgjengelig. Nmap gir en rekke ulike port skanning teknikker for ulike scenarier.

Ping Scanner

de enkleste portskanningene er ping-skanninger. En ping er EN internet Control Message Protocol (ICMP) ekkoforespørsel – du leter etter EVENTUELLE ICMP-svar, noe som indikerer at målet er i live. En ping scan er en automatisert eksplosjon av MANGE ICMP ekko forespørsler til ulike mål for å se hvem som svarer. Ping-skanninger er ikke teknisk portskanningsteknikker, da det beste du kan komme tilbake er at det er en datamaskin i den andre enden, men det er relatert og vanligvis den første oppgaven før du gjør en portskanning.Administratorer deaktiverer VANLIGVIS ICMP (ping) enten på brannmuren eller på ruteren for ekstern trafikk, og de lar den stå åpen inne i nettverket. Det er raskt og enkelt å slå av denne funksjonaliteten og gjøre det umulig å speide nettverket på denne måten. Ping er imidlertid et nyttig feilsøkingsverktøy,og å slå det av gjør det litt vanskeligere å spore nettverksproblemer.

Tcp Half Open

en av de mer vanlige og populære portskanningsteknikkene er tcp half open port scan, noen ganger referert til som EN SYN scan. Det er en rask og sleipe skanning som prøver å finne potensielle åpne porter på måldatamaskinen.

SYN-pakker ber om et svar fra en datamaskin, og EN ACK-pakke er et svar. I en typisk TCP-transaksjon er DET EN SYN, EN ACK fra tjenesten, og en tredje ACK-bekreftelsesmelding mottatt.

denne skanningen er rask og vanskelig å oppdage fordi den aldri fullfører hele TCP 3-veis håndtrykk. Skanneren sender EN SYN-melding og noterer BARE SYN-ACK-svarene. Skanneren fullfører ikke tilkoblingen ved å sende den endelige ACK: den forlater målet hengende.

EVENTUELLE SYN-ACK-svar er muligens åpne porter. EN RST (reset) respons betyr at porten er stengt, men det er en live datamaskin her. INGEN svar angir AT SYN er filtrert pa nettverket. EN ICMP (eller ping) ingen respons teller også som en filtrert respons.

tcp halvåpent skanning er standard skanning I NMAP.

TCP Connect

denne portskanningsteknikken er i utgangspunktet den Samme SOM Tcp Halvåpent skanning, men i stedet for å la målet henge, fullfører portskanneren tcp-tilkoblingen.

det er ikke så populært en teknikk som TCP halvåpent. Først må du sende en ekstra pakke per skanning, noe som øker mengden støy du lager på nettverket. For det andre, siden du fullfører målets tilkobling, kan du utløse en alarm som den halvåpne skanningen ikke ville.Målsystemer er mer sannsynlig å logge en full TCP-tilkobling, og intrusion detection systems (IDS) er tilsvarende mer sannsynlig å utløse alarmer på flere TCP-tilkoblinger fra samme vert.fordelen MED tcp connect-skanningen er at en bruker ikke trenger samme nivå av privilegier for å kjøre Som de gjør for Å kjøre Halvåpent skanning. TCP connect-skanninger bruker tilkoblingsprotokollene alle brukere må ha for å koble til andre systemer.

UDP

UDP-skanninger er tregere ENN TCP-skanninger, men det er mange utnyttbare UDP-tjenester som angripere kan bruke, FOR EKSEMPEL DNS exfiltration. Forsvarere må beskytte SINE UDP-porter med samme grådighet som SINE TCP-porter.

UDP-skanninger fungerer best når du sender en bestemt nyttelast til målet. For eksempel, hvis du vil vite om EN DNS-server er oppe, vil du sende EN DNS-forespørsel. For ANDRE UDP-porter sendes pakken tom. ET ICMP-uoppnåelig svar betyr at porten er lukket eller filtrert. Hvis det er en tjeneste som kjører, kan DU få ET UDP-svar, noe som betyr at porten er åpen. Ingen respons kan bety at porten er åpen eller filtrert.En mer logisk bruk AV EN UDP-skanning er å sende EN DNS-forespørsel TIL UDP port 53 og se om DU får ET DNS-svar. Hvis du får svar, vet du at det er EN DNS-server på den datamaskinen. EN UDP-skanning kan være nyttig for å søke etter aktive tjenester på den måten, og Nmap-portskanneren er forhåndskonfigurert for å sende forespørsler om mange standardtjenester.

Forskjellen MELLOM TCP og UDP

TCP og UDP er de to vanligste protokollene i Bruk For Internet Protocol (IP) nettverk. Transmission Control Protocol (tcp) er en fin ordnet transaksjonsprotokoll: TCP sender hver pakke i rekkefølge, komplett med feilkontroll, verifisering og et 3-veis håndtrykk for å bekrefte at hver pakke er vellykket.

UDP har ingen feilkontroll, men har en tendens til å være raskere. Live streaming og online videospill bruker OFTE UDP av denne grunn. UDP er en forbindelsesløs protokoll, så programmer som bruker UDP, sender bare dataene – og hvis du savner en pakke, vil du aldri få det igjen.

Stealth Scanning

noen portskanninger er enklere å oppdage enn andre, så forsvarere trenger å vite om DISSE TCP-flaggene som gjør det mulig for angripere å gjøre portskanningene vanskelige å oppdage.

når du sender en portskanning med en pakke og FINFLAGGET, sender du pakken og forventer ikke svar. Hvis DU får EN FØRST, kan du anta at porten er stengt. Hvis du ikke får noe tilbake, indikerer det at porten er åpen. Brannmurer leter ETTER syn-pakker, SÅ fin-pakker glir gjennom uoppdaget.X-MAS-skanningen sender en pakke MED FIN, URG og PUSH-flagg og forventer EN FØRSTE eller ingen respons, akkurat som FIN-skanningen. Det er ikke mye praktisk bruk for denne skanningen, men det gjør at pakken ligner Et Juletre, så det er det.

Du kan også sende pakker uten flagg, kalt EN NULLPAKKE, og svaret er ENTEN EN FØRSTE eller ingenting.

den gode tingen-for hackeren-om disse skanningene er at de vanligvis ikke vises i logger. Nyere Intrusion Detection Software (IDS) og, Selvfølgelig, WireShark vil fange disse skanningene. Den dårlige nyheten er at hvis målet er Et Microsoft OS, vil du bare se lukkede porter-men hvis du finner en åpen port, kan du anta at det ikke Er En Windows-maskin. Den viktigste fordelen med å bruke disse flaggene er at de kan glide forbi brannmurer, noe som gjør resultatene mer pålitelige.

Ekstra Skanningsteknikker

skanningene vi diskuterte er de vanligste, men dette er ikke en uttømmende liste. Her er noen flere skanninger og grunnene til å kjøre dem:tcp Ack scan: for å kartlegge brannmurregler

Port Skanning Verktøy

1. Nmap
2. Solarwinds Port Scanner
3. netcat
4. avansert port skanner
5. netscan verktøy

hvordan oppdage en port scan?

Det er noen forskjellige teknikker for å oppdage port skanner, som kan være forsøk på å skanne nettverket for sårbarheter.

One Er en dedikert port scan detector program, som PortSentry eller Scanlogd.Netcat inkluderer port skanning funksjonalitet samt muligheten til å lage en enkel chat server eller program ulike pakker for testformål.

Intrusion detection systems (IDS) er en annen måte å oppdage portskanninger på. Se etter EN IDS som bruker et bredt utvalg av regler for å oppdage de ulike typer portskanninger som ikke bare er terskelbaserte.

Hvorfor Bør Du Kjøre En Port Scan?

du bør kjøre portskanninger proaktivt for å oppdage og lukke alle mulige sårbarheter som angripere kan utnytte.Proaktiv portskanning Er en god vane som du bør gjenta regelmessig. Gå også gjennom og overvåk alle åpne porter for å bekrefte at de brukes riktig, og at alle programmer som bruker åpne porter, er sikre og beskyttet mot kjente sårbarheter.

Implikasjoner Ved Å Kjøre En Portskanning

Her er noen advarsler for å kjøre portskanning. Noen tjenester eller datamaskiner kan mislykkes fra en portskanning. Dette er for interne systemer mer enn internett-vendt systemer, men det kan skje.Å kjøre portskanninger uten autorisasjon kan betraktes som en aggressiv handling, og hvis du er på et delt nettverk, kan du skanne et system som ikke er under din kontroll, noe som ikke er bra.Portskanninger er en kritisk del av å bygge et godt forsvar mot cyberangrep. Angripere bruker også portskanninger. Du må slå dem til slag og lukke ned mulige angrepsvektorer og gjøre livet så vanskelig som mulig.

Beskyttelse av omkretsen Er bare en del av kampen, men. Du må beskytte og overvåke dataene dine med samme årvåkenhet du beskytter og overvåker portene dine. Varonis Data Security Platform hjelper deg med å beskytte dataene dine ved å bygge interne barrierer for de mest sensitive dataene dine og deretter overvåke all aktivitet som kan påvirke dataene.

Sjekk ut Vår Live Cyber Attack lab for å se hvordan Varonis beskytter data fra ulike angrep.