skaner portów to program komputerowy, który sprawdza porty sieciowe pod kątem jednego z trzech możliwych stanów – otwartego, zamkniętego lub filtrowanego.

skanery portów są cennymi narzędziami do diagnozowania problemów z siecią i łącznością. Jednak atakujący używają skanerów portów do wykrywania możliwych punktów dostępu do infiltracji i identyfikowania urządzeń uruchomionych w sieci, takich jak zapory sieciowe, serwery proxy lub serwery VPN. Poniżej przedstawiamy tajniki skanera portów, w tym:

• jak działa skaner portów
• techniki skanowania portów
• narzędzia skanowania portów
• Jak wykryć skanowanie portów
• dlaczego warto uruchomić skanowanie portów

jak działa skaner portów?

skaner portów wysyła żądanie sieciowe w celu połączenia się z określonym portem TCP lub UDP na komputerze i rejestruje odpowiedź.

skaner portów wysyła pakiet danych sieciowych do Portu, aby sprawdzić aktualny stan. Jeśli chcesz sprawdzić, czy twój serwer WWW działa poprawnie, sprawdź stan portu 80 na tym serwerze, aby upewnić się, że jest otwarty i nasłuchuje.

status pomaga inżynierom sieci diagnozować problemy z siecią lub problemy z łącznością aplikacji lub pomaga atakującym znaleźć możliwe porty do wykorzystania do infiltracji w sieci.

Co To jest Port?

port to wirtualne miejsce, w którym rozpoczyna się i kończy komunikacja sieciowa (w skrócie). Aby uzyskać bardziej szczegółowe wyjaśnienie, musimy ustalić trochę ogólnych informacji. Istnieją dwa rodzaje portów sieciowych na każdym komputerze (65,536 z każdego w sumie 131,082 portów sieciowych):

• TCP i UDP

każdy komputer ma adres protokołu internetowego (IP), dzięki któremu sieć wie, do którego komputera wysłać pakiety. Jeśli wysyłasz pakiet na adres IP, komputer wie, do którego portu skierować pakiet na podstawie zawartości aplikacji lub pakietu. Każda usługa uruchomiona na komputerze musi „nasłuchiwać” na wyznaczonym porcie.

pierwsze 1023 porty TCP są dobrze znanymi portami zarezerwowanymi dla aplikacji takich jak FTP(21), HTTP(80) lub SSH(22), a Internet Assigned Numbers Authority (Iana) rezerwuje te punkty, aby utrzymać je w standardzie.

porty TCP 1024 – 49151 są dostępne do użytku przez usługi lub aplikacje i można je zarejestrować za pomocą IANA, więc są uważane za częściowo zarezerwowane. Porty 49152 i wyższe są bezpłatne.

podstawy skanowania portów

skaner portów wysyła pakiet sieciowy TCP lub UDP i pyta port o ich aktualny stan. Poniżej trzy typy odpowiedzi:

1. Otwórz, Zaakceptuj: komputer odpowiada i pyta, czy jest coś, co może dla ciebie zrobić.
2. zamknięty, Nie nasłuchujący: komputer odpowiada, że ” ten port jest obecnie w użyciu i niedostępny w tej chwili.”
3. filtrowane, upuszczane, blokowane: komputer nawet nie zadaje sobie trudu, aby odpowiedzieć.

skanowanie portów zwykle występuje na wczesnym etapie łańcucha Cyber kill, podczas rozpoznania i włamania. Atakujący wykorzystują skanowanie portów do wykrywania obiektów z otwartymi i nieużywanymi portami, które mogą zmienić w celu infiltracji, dowodzenia i kontroli oraz exfiltracji danych lub odkrywania, które aplikacje działają na tym komputerze, aby wykorzystać lukę w tej aplikacji.

techniki skanowania portów

Nmap jest jednym z najpopularniejszych dostępnych narzędzi do skanowania portów typu open source. Nmap udostępnia wiele różnych technik skanowania portów dla różnych scenariuszy.

Skaner Ping

najprostsze skanowanie portów to skanowanie ping. Ping to żądanie ECHA protokołu ICMP (Internet Control Message Protocol) – szukasz odpowiedzi ICMP, które wskazują, że cel żyje. Skanowanie ping to zautomatyzowany wybuch wielu żądań ICMP echo do różnych celów, aby zobaczyć, kto reaguje. Skany Ping nie są technicznie technikami skanowania portów, ponieważ najlepsze, co możesz uzyskać, to to, że po drugiej stronie znajduje się komputer, ale jest to powiązane i zwykle pierwsze zadanie przed wykonaniem skanowania portów.

Administratorzy zazwyczaj wyłączają ICMP (ping) na zaporze lub na routerze dla ruchu zewnętrznego i pozostawiają go otwartym wewnątrz sieci. Szybkie i łatwe jest wyłączenie tej funkcji i uniemożliwienie skanowania sieci w ten sposób. Jednak ping jest przydatnym narzędziem do rozwiązywania problemów, a wyłączenie go sprawia, że śledzenie problemów z siecią jest nieco trudniejsze.

TCP Half Open

jedną z bardziej popularnych i popularnych technik skanowania portów jest TCP half-open port scan, czasami określane jako SYN scan. Jest to szybkie i podstępne skanowanie, które próbuje znaleźć potencjalne otwarte porty na komputerze docelowym.

Pakiety SYN żądają odpowiedzi od komputera, a pakiet ACK jest odpowiedzią. W typowej transakcji TCP pojawia się SYN, ACK z usługi i trzecia otrzymana wiadomość potwierdzająca ACK.

to skanowanie jest szybkie i trudne do wykrycia, ponieważ nigdy nie kończy pełnego TCP 3 way-handshake. Skaner wysyła wiadomość SYN i po prostu odnotowuje odpowiedzi SYN-ACK. Skaner nie kończy połączenia, wysyłając końcowy ACK: pozostawia cel wiszący.

wszelkie odpowiedzi SYN-ACK są prawdopodobnie otwartymi portami. Odpowiedź RST (reset) oznacza, że port jest zamknięty, ale jest tu komputer aktywny. Brak odpowiedzi wskazuje, że SYN jest filtrowany w sieci. Brak odpowiedzi ICMP (lub ping) również liczy się jako odpowiedź przefiltrowana.

skanowanie półotwarte TCP jest domyślnym skanowaniem w NMAP.

TCP Connect

ta technika skanowania portów jest zasadniczo taka sama jak skanowanie półotwarte TCP, ale zamiast pozostawiać cel zawieszony, skaner portów kończy połączenie TCP.

to nie jest tak popularna technika jak TCP half-open. Po pierwsze, musisz wysłać jeszcze jeden pakiet na skanowanie, co zwiększa ilość hałasu, który robisz w sieci. Po drugie, po zakończeniu połączenia celu, możesz wywołać alarm, że skanowanie półotwarte nie będzie.

Systemy docelowe częściej rejestrują pełne połączenie TCP, a systemy wykrywania włamań (IDS) podobnie częściej wywołują alarmy na kilku połączeniach TCP z tego samego hosta.

zaletą skanowania połączenia TCP jest to, że użytkownik nie potrzebuje takiego samego poziomu uprawnień do uruchomienia, jak do uruchomienia skanowania półotwartego. Skany TCP connect korzystają z protokołów połączeń, których każdy użytkownik potrzebuje, aby połączyć się z innymi systemami.

UDP

skanowanie UDP jest wolniejsze niż skanowanie TCP, ale istnieje wiele usług UDP, z których mogą korzystać atakujący, na przykład exfiltracja DNS. Obrońcy muszą chronić swoje porty UDP z taką samą żarłocznością jak ich porty TCP.

skanowanie UDP działa najlepiej, gdy wysyłasz określony ładunek do celu. Na przykład, jeśli chcesz wiedzieć, czy serwer DNS działa, wyślesz żądanie DNS. Dla innych portów UDP pakiet jest wysyłany pusty. Nieosiągalna odpowiedź ICMP oznacza, że port jest zamknięty lub filtrowany. Jeśli jest uruchomiona usługa, możesz otrzymać odpowiedź UDP, co oznacza, że port jest otwarty. Brak odpowiedzi może oznaczać, że port jest otwarty lub przefiltrowany.

jednym z bardziej logicznych zastosowań skanowania UDP jest wysłanie żądania DNS do portu UDP 53 i sprawdzenie, czy otrzymasz odpowiedź DNS. Jeśli otrzymasz odpowiedź, wiesz, że na tym komputerze znajduje się serwer DNS. Skanowanie UDP może być przydatne do wyszukiwania aktywnych usług w ten sposób, a skaner portów Nmap jest wstępnie skonfigurowany do wysyłania żądań dla wielu standardowych usług.

różnica między TCP i UDP

TCP i UDP są dwoma najczęściej używanymi protokołami w sieciach protokołu internetowego (IP). Transmission Control Protocol (TCP) jest ładnym, uporządkowanym protokołem transakcji: TCP wysyła każdy pakiet w kolejności, wraz z sprawdzaniem błędów, weryfikacją i trójdrożnym uściskiem dłoni, aby potwierdzić, że każdy pakiet jest udany.

UDP nie ma żadnego sprawdzania błędów, ale wydaje się być szybszy. Transmisje na żywo i gry wideo online często używają UDP z tego powodu. UDP jest protokołem bezpołączeniowym, więc programy korzystające z protokołu UDP po prostu wysyłają dane – a jeśli przegapisz pakiet, nigdy więcej go nie dostaniesz.

Stealth Scanning

niektóre skanowanie portów jest łatwiejsze do wykrycia niż inne, więc obrońcy muszą wiedzieć o flagach TCP, które pozwalają atakującym na utrudnianie wykrycia ich skanowania portów.

Kiedy wysyłasz skanowanie portu z pakietem i flagą FIN, wysyłasz pakiet i nie oczekujesz odpowiedzi. Jeśli otrzymasz RST, możesz założyć, że port jest zamknięty. Jeśli nic nie odzyskasz, oznacza to, że port jest otwarty. Firewalle szukają pakietów SYN, więc pakiety FIN prześlizgują się niezauważone.

skanowanie X-MAS wysyła pakiet z flagami FIN, URG i PUSH i oczekuje odpowiedzi RST lub nie, tak jak skanowanie FIN. Nie ma wiele praktycznego zastosowania dla tego skanowania, ale to sprawia, że pakiet przypomina choinkę, więc jest to.

Możesz również wysyłać pakiety bez flag, nazywane pakietem NULL, a odpowiedzią jest albo RST, albo nic.

dobrą rzeczą – dla hakera – w tych skanach jest to, że zwykle nie pojawiają się w logach. Nowsze oprogramowanie do wykrywania włamań (IDS) i, oczywiście, WireShark przechwycą te skany. Zła wiadomość jest taka, że jeśli celem jest system operacyjny Microsoft, zobaczysz tylko zamknięte porty – ale jeśli znajdziesz otwarty port, możesz założyć, że nie jest to maszyna z systemem Windows. Najważniejszą zaletą korzystania z tych flag jest to, że mogą one poślizgnąć się przez zapory sieciowe, co sprawia, że wyniki są bardziej wiarygodne.

dodatkowe techniki skanowania

omawiane przez nas skany są najczęstsze, ale nie jest to wyczerpująca lista. Oto kilka skanów i powody, dla których warto je uruchomić:

• TCP ACK scan: mapowanie zestawów reguł zapory sieciowej
• TCP window scan: potrafi odróżnić otwarte porty od zamkniętych, ale działa tylko na mniejszościach systemów
• –scanflags: dla zaawansowanych użytkowników, którzy chcą wysłać swoje własne flagi TCP w skanowaniu, możesz to zrobić w Nmap

narzędzia do skanowania portów

1. Nmap
2. Solarwinds Port Scanner
3. netcat
4. zaawansowany skaner portów
5. narzędzia NetScan

jak wykryć skanowanie portów?

istnieje kilka różnych technik wykrywania skanowania portów, które mogą być próbami skanowania sieci w poszukiwaniu luk w zabezpieczeniach.

One to dedykowana aplikacja do wykrywania skanowania portów, taka jak PortSentry lub Scanlogd.

Netcat zawiera funkcje skanowania portów, a także możliwość tworzenia prostego serwera czatu lub programowania różnych pakietów do celów testowych.

systemy wykrywania włamań (IDS) to kolejny sposób wykrywania skanowania portów. Poszukaj identyfikatorów, które używają różnych reguł do wykrywania różnych rodzajów skanowania portów, które nie są tylko oparte na progach.

dlaczego warto uruchomić skanowanie portów?

powinieneś proaktywnie uruchamiać skanowanie portów, aby wykryć i zamknąć wszystkie możliwe luki, które mogą wykorzystać atakujący.

proaktywne skanowanie portów to dobry nawyk, który należy powtarzać zgodnie z regularnym harmonogramem. Ponadto Przejrzyj i sprawdź wszystkie otwarte porty, aby sprawdzić, czy są one używane poprawnie i czy wszystkie aplikacje, które używają otwartych portów, są bezpieczne i chronione przed znanymi lukami.

konsekwencje uruchomienia skanowania portów

oto kilka zastrzeżeń do uruchomienia skanowania portów. Skanowanie portów może spowodować błąd niektórych usług lub komputerów. Dotyczy to systemów wewnętrznych bardziej niż systemów internetowych, ale może się zdarzyć.

uruchamianie skanowania portów bez autoryzacji może być uznane za agresywne działanie, a jeśli jesteś w sieci współdzielonej, możesz skanować system, który nie jest pod twoją kontrolą, co nie jest dobre.

skanowanie portów jest kluczowym elementem budowania dobrej obrony przed cyberatakami. Atakujący również używają skanerów portów. Musisz pokonać ich do ciosu i zamknąć możliwe wektory ataku i uczynić ich życie tak trudnym, jak to możliwe.

Ochrona obwodu to jednak tylko część bitwy. Musisz chronić i monitorować swoje dane z taką samą czujnością, jaką chronisz i monitorujesz swoje porty. Platforma bezpieczeństwa danych Varonis pomaga chronić dane, budując wewnętrzne bariery dla najbardziej wrażliwych danych, a następnie monitorując wszystkie działania, które mogą mieć na nie wpływ.

sprawdź nasze laboratorium cyberataków na żywo, aby zobaczyć, jak Varonis chroni dane przed różnymi atakami.