Articles

ce este un scaner de porturi și cum funcționează?

admin septembrie 18, 2021 0 Comment

un scaner de porturi este un program de calculator care verifică porturile de rețea pentru una dintre cele trei stări posibile – deschis, închis sau filtrat.

scanerele portuare sunt instrumente valoroase în diagnosticarea problemelor de rețea și conectivitate. Cu toate acestea, atacatorii folosesc scanere de porturi pentru a detecta posibile puncte de acces pentru infiltrare și pentru a identifica tipurile de dispozitive pe care le rulați în rețea, cum ar fi firewall-uri, servere proxy sau servere VPN. Aici, vă vom lua prin intrarile si iesirile de un scaner de port, inclusiv:

  • cum funcționează un scaner de porturi
  • tehnici de scanare a porturilor
  • instrumente de scanare a porturilor
  • cum se detectează o scanare de porturi
  • De ce ar trebui să rulați o scanare de porturi

cum funcționează un scaner de porturi?

trei răspunsuri posibile de scanare a porturilor

un scaner de port trimite o solicitare de rețea pentru conectarea la un anumit port TCP sau UDP de pe un computer și înregistrează răspunsul.

deci, ceea ce face un scaner de porturi este să trimită un pachet de date de rețea către un port pentru a verifica starea curentă. Dacă doriți să verificați dacă serverul dvs. web funcționează corect, verificați starea portului 80 pe acel server pentru a vă asigura că este deschis și ascultat.

starea îi ajută pe inginerii de rețea să diagnosticheze probleme de rețea sau probleme de conectivitate a aplicațiilor sau îi ajută pe atacatori să găsească porturi posibile de utilizat pentru infiltrarea în rețeaua dvs.

ce este un Port?

un port este o locație virtuală în care comunicarea în rețea începe și se termină (pe scurt). Pentru o explicație mai aprofundată, trebuie să stabilim câteva informații de fond. Există două tipuri de porturi de rețea pe fiecare computer (65.536 din fiecare pentru un total de 131.082 porturi de rețea):

  • TCP și UDP

fiecare computer are o adresă de Protocol Internet (IP), care este modul în care rețeaua știe la ce computer să trimită pachete. Dacă trimiteți un pachet la adresa IP, computerul știe la ce port să direcționeze pachetul pe baza aplicației sau a conținutului pachetului. Fiecare serviciu care rulează pe computer trebuie să „asculte” pe un port desemnat.

primele 1023 de porturi TCP sunt porturile bine cunoscute rezervate pentru aplicații precum FTP(21), HTTP(80) sau SSH(22), iar Autoritatea Numerelor Atribuite pe Internet (Iana) își rezervă aceste puncte pentru a le menține standardizate.

porturile TCP 1024 – 49151 sunt disponibile pentru utilizare de către servicii sau aplicații și le puteți înregistra la IANA, deci sunt considerate semi-rezervate. Porturile 49152 și mai mari sunt gratuite.

bazele scanării porturilor

un scaner de port trimite un pachet de rețea TCP sau UDP și întreabă portul despre starea lor curentă. Cele trei tipuri de răspunsuri sunt mai jos:

  1. deschis, acceptat: computerul răspunde și întreabă dacă poate face ceva pentru dvs.
  2. închis, fără ascultare: computerul răspunde că „acest port este în prezent utilizat și indisponibil în acest moment.”
  3. filtrat, scăpat, blocat: computerul nici măcar nu se deranjează să răspundă.

scanările portuare apar în general la începutul lanțului de ucidere cibernetică, în timpul recunoașterii și intruziunii. Atacatorii folosesc scanări de porturi pentru a detecta ținte cu porturi deschise și neutilizate pe care le pot reutiliza pentru infiltrare, comandă și control și exfiltrare de date sau pentru a descoperi ce aplicații rulează pe acel computer pentru a exploata o vulnerabilitate în acea aplicație.

tehnici de scanare a porturilor

cinci tehnici de scanare a porturilor

Nmap este unul dintre cele mai populare instrumente de scanare a porturilor open-source disponibile. Nmap oferă o serie de tehnici diferite de scanare a porturilor pentru diferite scenarii.

Ping Scanner

cele mai simple scanări de porturi sunt scanările ping. Un ping este o cerere de ecou Internet Control Message Protocol (ICMP) – căutați orice răspuns ICMP, ceea ce indică faptul că ținta este în viață. O Scanare ping este o explozie automată a multor cereri de ecou ICMP către diferite ținte pentru a vedea cine răspunde. Scanările Ping nu sunt tehnici de scanare a porturilor din punct de vedere tehnic, deoarece cel mai bun lucru pe care îl puteți obține este că există un computer la celălalt capăt, dar este legat și, de obicei, prima sarcină înainte de a efectua o scanare a porturilor.

administratorii dezactivează de obicei ICMP (ping) fie pe firewall, fie pe router pentru trafic extern și îl lasă deschis în rețea. Este rapid și ușor să dezactivați această funcționalitate și să faceți imposibilă cercetarea rețelei în acest fel. Cu toate acestea, ping este un instrument util de depanare, iar oprirea acestuia face ca urmărirea problemelor de rețea să fie puțin mai dificilă.

TCP Half Open

una dintre cele mai comune și populare tehnici de scanare a porturilor este scanarea portului TCP pe jumătate deschisă, uneori denumită scanare SYN. Este o Scanare rapidă și mascată care încearcă să găsească potențiale porturi deschise pe computerul țintă.

pachetele SYN solicită un răspuns de la un computer, iar un pachet ACK este un răspuns. Într-o tranzacție TCP tipică, există un SYN, un ACK din serviciu și un al treilea mesaj de confirmare ACK primit.

această scanare este rapidă și greu de detectat, deoarece nu completează niciodată întreaga strângere de mână TCP 3 way. Scanerul trimite un mesaj SYN și notează doar răspunsurile SYN-ACK. Scanerul nu finalizează conexiunea prin trimiterea ACK-ului final: lasă ținta agățată.

orice răspuns SYN-ACK este posibil să fie porturi deschise. Un răspuns RST (reset) înseamnă că portul este închis, dar există un computer live aici. Niciun răspuns nu indică faptul că SYN este filtrat în rețea. Un ICMP (sau ping) nici un răspuns, de asemenea, contează ca un răspuns filtrat.scanările TCP semi-deschise sunt scanarea implicită în NMAP.

TCP Connect

această tehnică de scanare a portului este practic aceeași cu scanarea TCP pe jumătate deschisă, dar în loc să lase ținta agățată, scanerul portului completează conexiunea TCP.

nu este o tehnică la fel de populară ca TCP pe jumătate deschis. În primul rând, trebuie să trimiteți încă un pachet pe Scanare, ceea ce crește cantitatea de zgomot pe care o faceți în rețea. În al doilea rând, din moment ce ați terminat conexiunea țintă, s-ar putea declanșa o alarmă că scanarea pe jumătate deschisă nu ar fi.

sistemele țintă sunt mai susceptibile de a înregistra o conexiune TCP completă, iar sistemele de detectare a intruziunilor (IDS) sunt în mod similar mai susceptibile de a declanșa alarme pe mai multe conexiuni TCP de la aceeași gazdă.

avantajul scanării TCP connect este că un utilizator nu are nevoie de același nivel de privilegii pentru a rula ca și pentru a rula scanarea pe jumătate deschisă. Scanările TCP connect utilizează protocoalele de conectare pe care orice utilizator trebuie să le aibă pentru a se conecta la alte sisteme.

UDP

scanările UDP sunt mai lente decât scanările TCP, dar există o mulțime de servicii UDP exploatabile pe care atacatorii le pot utiliza, de exemplu, exfiltrarea DNS. Apărătorii trebuie să-și protejeze porturile UDP cu aceeași voracitate ca și porturile TCP.scanările UDP funcționează cel mai bine atunci când trimiteți o anumită sarcină utilă către țintă. De exemplu, dacă doriți să știți dacă un server DNS este activat, ați trimite o solicitare DNS. Pentru alte porturi UDP, pachetul este trimis gol. Un răspuns ICMP inaccesibil înseamnă că portul este închis sau filtrat. Dacă există un serviciu care rulează, este posibil să primiți un răspuns UDP, ceea ce înseamnă că portul este deschis. Nici un răspuns ar putea însemna că portul este deschis sau filtrat.

o altă utilizare logică a unei scanări UDP este să trimiteți o solicitare DNS la portul UDP 53 și să vedeți dacă primiți un răspuns DNS. Dacă primiți un răspuns, știți că există un server DNS pe acel computer. O Scanare UDP poate fi utilă pentru a căuta servicii active în acest fel, iar scanerul portului Nmap este preconfigurat pentru a trimite cereri pentru multe servicii standard.

diferența dintre TCP și UDP

TCP și UDP sunt cele mai comune două protocoale utilizate pentru rețelele de Protocol Internet (IP). Protocolul de control al transmisiei (TCP) este un protocol de tranzacție ordonat frumos: TCP trimite fiecare pachet în ordine, completat cu verificarea erorilor, verificarea și o strângere de mână în 3 direcții pentru a confirma că fiecare pachet are succes.

UDP nu are nicio verificare a erorilor, dar tinde să fie mai rapid. Streamingul Live și jocurile video online folosesc adesea UDP din acest motiv. UDP este un protocol fără conexiune, astfel încât programele care utilizează UDP trimit doar datele – și dacă pierdeți un pachet, nu îl veți mai primi niciodată.

Stealth Scanning

unele scanări de porturi sunt mai ușor de detectat decât altele, astfel încât apărătorii trebuie să știe despre aceste steaguri TCP care permit atacatorilor să facă scanările de porturi dificil de detectat.

când trimiteți o scanare de port cu un pachet și steagul FIN, trimiteți pachetul și nu așteptați un răspuns. Dacă primiți un RST, puteți presupune că portul este închis. Dacă nu primești nimic înapoi, asta indică faptul că portul este deschis. Firewall-uri sunt în căutarea pentru pachete SYN, astfel încât pachetele FIN aluneca prin nedetectate.

scanarea X-MAS trimite un pachet cu steagurile FIN, URG și PUSH și așteaptă un răspuns RST sau no, la fel ca scanarea FIN. Nu există prea multă utilizare practică pentru această scanare, dar face ca pachetul să semene cu un pom de Crăciun, deci există asta.

de asemenea, puteți trimite pachete fără steaguri, numite pachete nule, iar răspunsul este fie un RST, fie nimic.

lucrul bun – pentru hacker – despre aceste scanări este că de obicei nu apar în jurnale. Software-ul mai recent de detectare a intruziunilor (IDS) și, desigur, WireShark vor prinde aceste scanări. Vestea proastă este că, dacă ținta este un sistem de operare Microsoft, veți vedea doar porturi închise – dar dacă găsiți un port deschis, puteți presupune că nu este o mașină Windows. Cel mai important avantaj al utilizării acestor steaguri este că pot aluneca pe lângă firewall-uri, ceea ce face ca rezultatele să fie mai fiabile.

tehnici suplimentare de scanare

scanările pe care le-am discutat sunt cele mai frecvente, dar aceasta nu este o listă exhaustivă. Iată câteva scanări și motivele pentru a le rula:

  • TCP ACK scan: pentru a mapa seturile de reguli firewall
  • TCP Window scan: poate diferenția porturile deschise de porturile închise, dar funcționează doar pe o minoritate de sisteme
  • –scanflags: pentru utilizatorul avansat care dorește să trimită steagurile TCP personalizate într-o scanare, puteți face asta în Nmap

instrumente de scanare a porturilor

  1. Nmap
  2. Solarwinds Port Scanner
  3. netcat
  4. Advanced Port Scanner
  5. NetScan tools

cum de a detecta o Scanare port?

patru metode de detectare a scanării porturilor

există câteva tehnici diferite de detectare a scanărilor portuare, care ar putea fi încercări de scanare a rețelei pentru vulnerabilități.

One este o aplicație software dedicată detectorului de scanare a porturilor, cum ar fi PortSentry sau Scanlogd.

Netcat include funcționalitatea de scanare a porturilor, precum și capacitatea de a crea un server de chat simplu sau de a programa diferite pachete în scopuri de testare.

sistemele de detectare a intruziunilor (IDS) sunt un alt mod de a detecta scanările porturilor. Căutați un IDS care utilizează o mare varietate de reguli pentru a detecta diferitele tipuri de scanări de porturi care nu sunt doar bazate pe praguri.

De ce ar trebui să executați o Scanare Port?

ar trebui să rulați scanări de porturi proactiv pentru a detecta și a închide toate vulnerabilitățile posibile pe care atacatorii le-ar putea exploata.

scanarea proactivă a porturilor este un obicei bun pe care ar trebui să îl repetați într-un program regulat. De asemenea, examinați și auditați toate porturile deschise pentru a verifica dacă sunt utilizate corect și că orice aplicații care utilizează porturi deschise sunt sigure și protejate de vulnerabilitățile cunoscute.

implicațiile rulării unei scanări de porturi

iată câteva avertismente pentru rularea scanărilor de porturi. Unele servicii sau computere ar putea eșua de la o Scanare port. Acest lucru este pentru sistemele interne mai mult decât sistemele orientate spre internet, dar se poate întâmpla.

rularea scanărilor de porturi fără autorizare poate fi considerată o acțiune agresivă și, dacă vă aflați într-o rețea partajată, puteți scana un sistem care nu este sub controlul dvs., ceea ce nu este bun.

scanările portuare sunt o parte critică a construirii unei bune apărări împotriva atacurilor cibernetice. Atacatorii folosesc și scanări de porturi. Trebuie să-i bateți la pumn și să închideți posibilii vectori de atac și să le faceți viața cât mai dificilă.cu toate acestea, protejarea perimetrului este doar o parte a bătăliei. Trebuie să vă protejați și să vă monitorizați datele cu aceeași vigilență pe care o protejați și vă monitorizați porturile. Varonis Data Security Platform vă ajută să vă protejați datele prin construirea de bariere interne pentru datele cele mai sensibile și apoi monitorizarea tuturor activităților care ar putea avea impact asupra acestor date.

consultați laboratorul nostru de atacuri cibernetice Live pentru a vedea cum Varonis protejează datele împotriva diferitelor atacuri.

admin

Related Posts

Fysisk Geologi

ianuarie 7, 2022

물리적 지질학

ianuarie 7, 2022

fysisk Geologi

ianuarie 7, 2022

Geología física

ianuarie 7, 2022

Géologie physique

ianuarie 7, 2022

Geologia fisica

ianuarie 7, 2022

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *