Articles

Wat is een poortscanner en hoe werkt het?

admin september 18, 2021 0 Comment

een poortscanner is een computerprogramma dat netwerkpoorten controleert op een van de drie mogelijke statussen: open, closed of filtered.

poortscanners zijn waardevolle hulpmiddelen bij het diagnosticeren van netwerk-en verbindingsproblemen. Aanvallers gebruiken echter poortscanners om mogelijke toegangspunten voor infiltratie te detecteren en om te identificeren welke soorten apparaten u op het netwerk gebruikt, zoals firewalls, proxy-servers of VPN-servers. Hier nemen we u mee door de ins en outs van een poortscanner, waaronder:

  • Hoe werkt een poortscanner
  • Poortscantechnieken
  • Poortscanhulpmiddelen
  • Hoe detecteert u een poortscan
  • Waarom moet u een poortscan uitvoeren

Hoe werkt een poortscanner?

drie mogelijke poortscanreacties

een poortscanner verzendt een netwerkverzoek om verbinding te maken met een specifieke TCP-of UDP-poort op een computer en registreert het antwoord.

dus wat een poortscanner doet is een pakket netwerkgegevens naar een poort sturen om de huidige status te controleren. Als u wilt controleren of uw webserver correct werkte, zou u de status van poort 80 op die server controleren om er zeker van te zijn dat deze open was en luisterde.

de status helpt netwerkingenieurs netwerkproblemen of verbindingsproblemen met toepassingen te diagnosticeren, of helpt aanvallers mogelijke poorten te vinden om te gebruiken voor infiltratie in uw netwerk.

Wat is een poort?

een poort is een virtuele locatie waar netwerkcommunicatie begint en eindigt (in een notendop). Voor een meer diepgaande uitleg moeten we wat achtergrondinformatie verzamelen. Er zijn twee soorten netwerkpoorten op elke computer (65.536 van elk voor een totaal van 131.082 netwerkpoorten):

  • TCP en UDP

elke computer heeft een IP-adres (Internet Protocol), waarmee het netwerk Weet naar welke computer pakketten moeten worden verzonden. Als u een pakket naar het IP-adres verzendt, weet de computer naar welke poort het pakket moet worden geleid op basis van de toepassing of pakketinhoud. Elke service die op de computer draait, moet op een aangewezen poort” luisteren”.

de eerste 1023 TCP-poorten zijn de bekende poorten gereserveerd voor toepassingen zoals FTP(21), HTTP(80), of SSH(22) en de Internet Assigned Numbers Authority (IANA) reserveert deze punten om ze gestandaardiseerd te houden.

TCP-poorten 1024-49151 zijn beschikbaar voor gebruik door services of toepassingen, en u kunt ze registreren bij IANA, zodat ze als semi-gereserveerd worden beschouwd. Poorten 49152 en hoger zijn gratis te gebruiken.

poortscan Basics

een poortscanner verzendt een TCP-of UDP-netwerkpakket en vraagt de poort naar hun huidige status. De drie soorten antwoorden zijn hieronder:

  1. Open, geaccepteerd: de computer reageert en vraagt of er iets voor u kan doen.
  2. gesloten ,luistert niet: de computer antwoordt dat “deze poort momenteel in gebruik is en niet beschikbaar is op dit moment.”
  3. gefilterd, gedropt, Geblokkeerd: de computer doet niet eens de moeite om te reageren.

poortscans komen over het algemeen vroeg voor in de cyber kill chain, tijdens verkenning en intrusion. Aanvallers gebruiken poortscans om doelen te detecteren met open en ongebruikte poorten die ze kunnen hergebruiken voor infiltratie, commando en controle, en data-exfiltratie of ontdek welke toepassingen op die computer worden uitgevoerd om een kwetsbaarheid in die toepassing te exploiteren.

Port scantechnieken

vijf port scantechnieken

Nmap is een van de meest populaire open-source port scantools beschikbaar. Nmap biedt een aantal verschillende port scantechnieken voor verschillende scenario ‘ s.

Ping Scanner

De eenvoudigste poortscans zijn ping-scans. Een ping is een Internet Control Message Protocol (ICMP) echo request – u bent op zoek naar een ICMP antwoorden, die aangeeft dat het doel leeft. Een ping scan is een automatische ontploffing van veel ICMP echo verzoeken aan verschillende doelen om te zien wie reageert. Ping-scans zijn technisch gezien geen poortscantechnieken, want het beste wat je terug kunt krijgen is dat er een computer aan de andere kant is, maar het is gerelateerd en meestal de eerste taak voordat je een poortscan doet.

beheerders schakelen gewoonlijk ICMP (ping) uit op de firewall of op de router voor extern verkeer, en ze laten het open in het netwerk. Het is snel en eenvoudig om deze functionaliteit uit te schakelen en het onmogelijk te maken om het netwerk op deze manier te verkennen. Ping is echter een nuttig hulpmiddel voor het oplossen van problemen, en het uitschakelen ervan maakt het opsporen van netwerkproblemen een beetje moeilijker.

TCP Half Open

een van de meest voorkomende en populaire poortscantechnieken is de TCP half open poortscan, ook wel SYNSCAN genoemd. Het is een snelle en stiekeme scan die probeert om potentiële open poorten op de doelcomputer te vinden.

SYN-pakketten vragen om een antwoord van een computer, en een ACK-pakket is een antwoord. In een typische TCP-transactie is er een SYN, een ACK van de service en een derde ACK-bevestigingsbericht ontvangen.

Deze scan is snel en moeilijk te detecteren omdat het nooit de volledige TCP 3 way-handshake voltooit. De scanner stuurt een SYN-bericht en noteert alleen de SYN-ACK-reacties. De scanner voltooit de verbinding niet door het verzenden van de laatste ACK: het laat het doel hangen.

alle SYN-ACK-antwoorden zijn mogelijk open poorten. Een RST (reset) reactie betekent dat de poort gesloten is, maar er is een live computer hier. Geen reacties geven aan dat SYN is gefilterd op het netwerk. Een ICMP (of ping) geen antwoord telt ook als een gefilterde reactie.

tcp halfopen scans zijn de standaard scan in NMAP.

TCP Connect

deze poortscantechniek is in principe hetzelfde als de TCP halfopen scan, maar in plaats van het doel te laten hangen, voltooit de poortscanner de TCP-verbinding.

het is niet zo populair als de TCP half-open techniek. Eerst moet je nog één pakket per scan verzenden, wat de hoeveelheid ruis die je maakt op het netwerk verhoogt. Ten tweede, omdat u de verbinding van het doel te voltooien, kunt u een alarm dat de half-open scan niet zou struikelen.

doelsystemen hebben meer kans om een volledige TCP-verbinding te loggen, en intrusion detection systems (IDS) hebben ook meer kans om alarmen te activeren op verschillende TCP-verbindingen van dezelfde host.

het voordeel van de TCP connect scan is dat een gebruiker niet hetzelfde niveau van rechten nodig heeft om te draaien als ze doen om de halfopen scan uit te voeren. TCP connect scans gebruiken de verbindingsprotocollen die elke gebruiker nodig heeft om verbinding te maken met andere systemen.

UDP

UDP-scans zijn langzamer dan TCP-scans, maar er zijn tal van exploiteerbare UDP-services die aanvallers kunnen gebruiken, bijvoorbeeld DNS-exfiltratie. Verdedigers moeten hun UDP-poorten beschermen met dezelfde voracity als hun TCP-poorten.

UDP-scans werken het beste wanneer u een specifieke lading naar het doel verzendt. Als u bijvoorbeeld wilt weten of een DNS-server actief is, stuurt u een DNS-verzoek. Voor andere UDP-poorten wordt het pakket leeg verzonden. Een onbereikbaar ICMP-antwoord betekent dat de poort gesloten of gefilterd is. Als er een service draait, krijg je mogelijk een UDP-antwoord, wat betekent dat de poort open is. Geen antwoord kan betekenen dat de poort open of gefilterd is.

een logisch gebruik van een UDP-scan is om een DNS-verzoek naar UDP-poort 53 te sturen en te kijken of u een DNS-antwoord krijgt. Als je een antwoord krijgt, Weet je dat er een DNS-server op die computer staat. Een UDP-scan kan nuttig zijn om op die manier actieve services te zoeken, en de Nmap-poortscanner is vooraf geconfigureerd om aanvragen voor veel standaard services te verzenden.

verschil tussen TCP en UDP

TCP en UDP zijn de twee meest voorkomende protocollen in gebruik voor Internet Protocol (IP) netwerken. Transmission Control Protocol (TCP) is een mooi ordelijk transactie protocol: TCP stuurt elk pakket in volgorde, compleet met foutcontrole, verificatie, en een 3-weg handshake om te bevestigen dat elk pakket succesvol is.

UDP heeft geen foutcontrole, maar is meestal sneller. Live streaming en online video games vaak gebruik maken van UDP om deze reden. UDP is een verbindingsloos protocol, dus programma ‘ s die UDP gebruiken sturen gewoon de gegevens – en als je een pakket mist, krijg je het nooit meer.

Stealth Scanning

sommige poortscans zijn gemakkelijker te detecteren dan andere, dus verdedigers moeten op de hoogte zijn van deze TCP-vlaggen die aanvallers in staat stellen hun poortscans moeilijk te detecteren.

wanneer u een poortscan verzendt met een pakket en de fin-vlag, verzendt u het pakket en verwacht u geen antwoord. Als je een RST krijgt, kun je aannemen dat de poort gesloten is. Als je niets terugkrijgt, geeft dat aan dat de poort open is. Firewalls zijn op zoek naar SYN-pakketten, dus FIN-pakketten glippen onopgemerkt door.

de x-MAS scan verzendt een pakket met de fin -, URG-en PUSH-vlaggen en verwacht een RST-of geen-reactie, net als de FIN-scan. Er is niet veel praktisch nut voor deze scan, maar het maakt het pakket lijkt op een kerstboom, dus er is dat.

u kunt ook pakketten zonder vlaggen verzenden, een NULL-pakket genaamd, en het antwoord is een RST of niets.

het goede ding – voor de hacker-over deze scans is dat ze meestal niet verschijnen in logs. Meer recente Intrusion Detection Software (IDS) en, natuurlijk, WireShark zal deze scans te vangen. Het slechte nieuws is dat als het doel is een Microsoft OS, ziet u alleen gesloten poorten-maar als u een open poort te vinden, kunt u aannemen dat het niet een Windows-machine. Het belangrijkste voordeel van het gebruik van deze vlaggen is dat ze langs firewalls kunnen glippen, wat de resultaten betrouwbaarder maakt.

aanvullende scantechnieken

de scans die we besproken hebben zijn de meest voorkomende, maar dit is geen uitputtende lijst. Hier zijn wat meer scans en de redenen om ze uit te voeren:

  • TCP ACK scan: in kaart firewall regels
  • TCP Venster-scan: kan onderscheid maken tussen het openen van de poorten van gesloten poorten, maar werkt alleen op een minderheid van de systemen
  • –scanflags: voor de gevorderde gebruiker die wil om hun aangepaste TCP vlaggen in een scan, u kunt dat doen in Nmap

Port Scanning Tools

  1. Nmap
  2. Solarwinds Poort Scanner
  3. Netcat
  4. Advanced Port Scanner
  5. NetScan Gereedschappen

het vaststellen van een Port Scan?

vier poortscan detectiemethoden

er zijn een paar verschillende technieken om poortscans te detecteren, wat pogingen zou kunnen zijn om uw netwerk te scannen op kwetsbaarheden.

One is een speciale port scan detector software applicatie, zoals PortSentry of Scanlogd.

Netcat bevat poortscanfunctionaliteit en de mogelijkheid om een eenvoudige chatserver te maken of verschillende pakketten te programmeren voor testdoeleinden.

Intrusion detection systems (IDs) zijn een andere manier om poortscans te detecteren. Zoek naar een ID ‘ s die een breed scala aan regels gebruikt om de verschillende soorten poortscans te detecteren die niet alleen op drempel gebaseerd zijn.

waarom zou u een poortscan uitvoeren?

u dient poortscans proactief uit te voeren om alle mogelijke kwetsbaarheden te detecteren en te sluiten die aanvallers zouden kunnen uitbuiten.

proactief scannen van Poorten is een goede gewoonte die u op een regelmatig schema moet herhalen. Controleer en audit ook alle open poorten om te controleren of ze correct worden gebruikt en of alle toepassingen die open poorten gebruiken, veilig zijn en beschermd tegen bekende kwetsbaarheden.

implicaties van het uitvoeren van een poortscan

Hier zijn enkele voorbehouden aan het uitvoeren van poortscans. Sommige services of computers kunnen falen bij een poortscan. Dit is voor interne systemen meer zo dan internet-gerichte systemen, maar het kan gebeuren.

het uitvoeren van poortscans zonder autorisatie kan als een agressieve actie worden beschouwd, en als u zich op een gedeeld netwerk bevindt, kunt u een systeem scannen dat niet onder uw controle staat, wat niet goed is.

Portscans zijn een cruciaal onderdeel van het opbouwen van een goede verdediging tegen cyberaanvallen. Aanvallers gebruiken ook poortscans. Je moet ze verslaan om de punch en sluit mogelijke aanval vectoren en maken hun leven zo moeilijk mogelijk.

Het beschermen van de omtrek is echter slechts een deel van de strijd. U moet uw gegevens beschermen en bewaken met dezelfde waakzaamheid als u uw poorten beschermt en bewaakt. Varonis Data Security Platform helpt u uw gegevens te beschermen door interne barrières op te bouwen voor uw meest gevoelige gegevens en vervolgens alle activiteiten te monitoren die van invloed kunnen zijn op die gegevens.

Bekijk ons Live Cyber Attack lab om te zien hoe Varonis gegevens beschermt tegen verschillende aanvallen.

admin

Related Posts

Geologia fisica

januari 7, 2022

geologia fizică

januari 7, 2022

fizikai Geológia

januari 7, 2022

fysikaalinen geologia

januari 7, 2022

fysische Geologie

januari 7, 2022

Geologia fizyczna

januari 7, 2022

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *