en portskanner är ett datorprogram som kontrollerar nätverksportar för en av tre möjliga statuser – öppna, stängda eller filtrerade.

Portskannrar är värdefulla verktyg för att diagnostisera nätverks-och anslutningsproblem. Angripare använder dock portskannrar för att upptäcka möjliga åtkomstpunkter för infiltration och för att identifiera vilka typer av enheter du kör i nätverket, som brandväggar, proxyservrar eller VPN-servrar. Här tar vi dig igenom ins och outs av en portskanner, inklusive:

• hur en portskanner fungerar
• Portscanningstekniker
• Portscanningsverktyg
• så här upptäcker du en portscanning
• Varför ska du köra en portscanning

Hur fungerar en portscanner?

en portskanner skickar en nätverksförfrågan för att ansluta till en specifik TCP-eller UDP-port på en dator och registrerar svaret.

Så vad en portskanner gör är att skicka ett paket med nätverksdata till en port för att kontrollera aktuell status. Om du ville kontrollera om din webbserver fungerade korrekt skulle du kontrollera status för port 80 på den servern för att se till att den var öppen och lyssnade.

statusen hjälper nätverksingenjörer att diagnostisera nätverksproblem eller problem med anslutning till program, eller hjälper angripare att hitta möjliga portar att använda för infiltration i nätverket.

Vad är en Port?

en port är en virtuell plats där nätverkskommunikation startar och slutar (i ett nötskal). För en mer djupgående förklaring måste vi upprätta lite bakgrundsinformation. Det finns två typer av nätverksportar på varje dator (65 536 av vardera för totalt 131 082 nätverksportar):

• TCP och UDP

varje dator har en IP-adress (Internet Protocol), vilket är hur nätverket vet vilken dator som ska skickas paket till. Om du skickar ett paket till IP-adressen vet datorn vilken port som ska dirigeras paketet till baserat på applikationen eller paketinnehållet. Varje tjänst som körs på datorn måste ”lyssna” på en angiven port.

de första 1023 TCP-portarna är de välkända portarna reserverade för applikationer som FTP(21), HTTP(80) eller SSH(22) och Internet Assigned Numbers Authority (IANA) reserverar dessa punkter för att hålla dem standardiserade.

TCP-portar 1024-49151 är tillgängliga för användning av tjänster eller applikationer, och du kan registrera dem hos IANA, så de anses vara semi-reserverade. Portar 49152 och högre är gratis att använda.

Portskanningsgrunder

en portskanner skickar ett TCP-eller UDP-nätverkspaket och frågar porten om deras nuvarande status. De tre typerna av svar är nedan:

1. öppen, accepterad: datorn svarar och frågar om det finns något den kan göra för dig.
2. stängd, lyssnar inte: datorn svarar att ” den här porten är för närvarande i bruk och inte tillgänglig just nu.”
3. filtrerad, tappad, blockerad: datorn bryr sig inte ens om att svara.

Portskanningar förekommer vanligtvis tidigt i cyber kill-kedjan, under rekognosering och intrång. Angripare använder portskanningar för att upptäcka mål med öppna och oanvända portar som de kan återanvända för infiltration, kommando och kontroll och datafiltrering eller upptäcka vilka applikationer som körs på den datorn för att utnyttja en sårbarhet i den applikationen.

Portscanningstekniker

Nmap är ett av de mest populära open source-portscanningsverktygen som finns tillgängliga. Nmap tillhandahåller ett antal olika portskanningstekniker för olika scenarier.

Ping Scanner

de enklaste portskanningarna är ping-skanningar. En ping är en Internet Control Message Protocol (ICMP) echo request – du letar efter några ICMP-svar, vilket indikerar att målet lever. En ping scan är en automatiserad blast av många ICMP echo förfrågningar till olika mål för att se vem som svarar. Ping-skanningar är inte tekniskt portskanningstekniker, eftersom det bästa du kan få tillbaka är att det finns en dator i andra änden, men den är relaterad och vanligtvis den första uppgiften innan du gör en portskanning.

administratörer inaktiverar vanligtvis ICMP (ping) antingen på brandväggen eller på routern för extern trafik, och de lämnar den öppen i nätverket. Det går snabbt och enkelt att stänga av den här funktionen och göra det omöjligt att söka nätverket på detta sätt. Ping är dock ett användbart felsökningsverktyg, och att stänga av det gör det lite svårare att spåra nätverksproblem.

TCP Half Open

en av de vanligaste och populära portskanningsteknikerna är TCP half-open port scan, ibland kallad SYN scan. Det är en snabb och lömsk skanning som försöker hitta potentiella öppna portar på måldatorn.SYN-paket begär ett svar från en dator, och ett ACK-paket är ett svar. I en typisk TCP-transaktion finns det en SYN, en ACK från tjänsten och ett tredje ack-bekräftande Meddelande mottaget.

denna skanning är snabb och svår att upptäcka eftersom den aldrig fullbordar hela TCP 3 way-handskakningen. Skannern skickar ett SYN-meddelande och noterar bara SYN-ACK-svaren. Skannern slutför inte anslutningen genom att skicka den slutliga ACK: den lämnar målet hängande.

alla SYN-ACK-svar är eventuellt öppna portar. Ett första (Återställ) svar betyder att porten är stängd, men det finns en levande dator här. Inga svar indikerar att SYN filtreras i nätverket. Ett ICMP (eller ping) inget svar räknas också som ett filtrerat svar.

tcp halvöppna skanningar är standardskanningen i NMAP.

TCP Connect

denna portscanningsteknik är i princip densamma som TCP halvöppen skanning, men istället för att lämna målet hängande fullbordar portskannern TCP-anslutningen.

det är inte lika populärt en teknik som TCP halvöppen. Först måste du skicka ytterligare ett paket per skanning, vilket ökar mängden ljud du gör i nätverket. För det andra, eftersom du slutför målets anslutning, kan du utlösa ett larm som den halvöppna skanningen inte skulle göra.

målsystem är mer benägna att logga en fullständig TCP-anslutning, och intrusion detection systems (IDS) är på samma sätt mer benägna att utlösa larm på flera TCP-anslutningar från samma värd.

fördelen med TCP connect-skanningen är att en användare inte behöver samma nivå av privilegier för att köra som de gör för att köra den halvöppna skanningen. TCP connect-skanningar använder anslutningsprotokollen som alla användare behöver för att ansluta till andra system.

UDP

UDP-skanningar är långsammare än TCP-skanningar, men det finns gott om exploaterbara UDP-tjänster som angripare kan använda, till exempel DNS-exfiltrering. Försvarare måste skydda sina UDP-portar med samma glupskhet som sina TCP-portar.

UDP-skanningar fungerar bäst när du skickar en specifik nyttolast till målet. Om du till exempel vill veta om en DNS-server är uppe skickar du en DNS-begäran. För andra UDP-portar skickas paketet tomt. Ett ICMP-oåtkomligt svar betyder att porten är stängd eller filtrerad. Om en tjänst körs kan du få ett UDP-svar, vilket innebär att porten är öppen. Inget svar kan innebära att porten är öppen eller filtrerad.

en mer logisk användning av en UDP-skanning är att skicka en DNS-begäran till UDP-port 53 och se om du får ett DNS-svar. Om du får ett svar vet du att det finns en DNS-server på den datorn. En UDP-skanning kan vara användbar för att söka efter aktiva tjänster på det sättet, och Nmap-portskannern är förkonfigurerad för att skicka förfrågningar om många standardtjänster.

skillnad mellan TCP och UDP

TCP och UDP är de två vanligaste protokollen som används för Internet Protocol (IP) – nätverk. Transmission Control Protocol (TCP) är ett trevligt ordnat transaktionsprotokoll: TCP skickar varje paket i ordning, komplett med felkontroll, verifiering och ett 3-vägs handslag för att bekräfta att varje paket lyckas.

UDP har ingen felkontroll men tenderar att vara snabbare. Live streaming och online videospel använder ofta UDP av denna anledning. UDP är ett anslutningsfritt protokoll, så program som använder UDP skickar bara data – och om du saknar ett paket kommer du aldrig att få det igen.

Stealth Scanning

vissa portskanningar är lättare att upptäcka än andra, så försvarare behöver veta om dessa TCP-flaggor som gör det möjligt för angripare att göra sina portskanningar svåra att upptäcka.

När du skickar en portskanning med ett paket och FIN-flaggan skickar du paketet och förväntar dig inget svar. Om du får en första, du kan anta att hamnen är stängd. Om du inte får något tillbaka, indikerar det att porten är öppen. Brandväggar letar efter SYN-paket, så FINPAKET glider genom oupptäckta.

X-MAS-skanningen skickar ett paket med FIN -, URG-och PUSH-flaggor och förväntar sig ett första eller inget svar, precis som FIN-skanningen. Det finns inte mycket praktisk användning för denna skanning, men det gör att paketet liknar ett julgran, så det finns det.

Du kan också skicka paket utan flaggor, kallas ett NULL-paket, och svaret är antingen en första eller ingenting.

det bra – för hackaren-om dessa skanningar är att de vanligtvis inte dyker upp i loggar. Nyare Intrusion Detection Software (IDS) och naturligtvis kommer WireShark att fånga dessa skanningar. Den dåliga nyheten är att om målet är ett Microsoft OS ser du bara stängda portar – men om du hittar en öppen port kan du anta att det inte är en Windows-maskin. Den viktigaste fördelen med att använda dessa flaggor är att de kan glida förbi brandväggar, vilket gör resultaten mer tillförlitliga.

ytterligare skanningstekniker

de skanningar vi diskuterade är de vanligaste, men det här är inte en uttömmande lista. Här är några fler skanningar och anledningarna till att köra dem:

• TCP ACK scan: för att kartlägga brandväggsregler
• TCP Window scan: kan skilja öppna portar från stängda portar men fungerar bara på en minoritet av system
• –scanflags: för den avancerade användaren som vill skicka sina anpassade TCP-flaggor i en skanning kan du göra det i Nmap

Portskanningsverktyg

1. Nmap
2. Solarwinds portskanner
3. netcat
4. avancerad portskanner
5. NetScan tools

Hur upptäcker du en portskanning?

det finns några olika tekniker för att upptäcka portskanningar, vilket kan vara försök att skanna ditt nätverk efter sårbarheter.

One är en dedikerad portskanningsdetektorprogramvara, som PortSentry eller Scanlogd.

Netcat innehåller portskanningsfunktionalitet samt möjligheten att skapa en enkel chattserver eller programmera olika paket för teständamål.Intrusion detection systems (IDS) är ett annat sätt att upptäcka portskanningar. Leta efter en ID som använder en mängd olika regler för att upptäcka olika typer av portskanningar som inte bara är tröskelbaserade.

varför ska du köra en portskanning?

Du bör köra portskanningar proaktivt för att upptäcka och stänga alla möjliga sårbarheter som angripare kan utnyttja.

proaktiv portskanning är en bra vana som du bör upprepa på ett regelbundet schema. Granska och granska alla öppna portar för att verifiera att de används korrekt och att alla program som använder öppna portar är säkra och skyddade från kända sårbarheter.

konsekvenser av att köra en portskanning

Här är några försiktighetsåtgärder för att köra portskanningar. Vissa tjänster eller datorer kan misslyckas från en portskanning. Detta är för interna system mer än internet-vända system, men det kan hända.att köra portskanningar utan tillstånd kan betraktas som en aggressiv åtgärd, och om du är i ett delat nätverk kan du skanna ett system som inte är under din kontroll, vilket inte är bra.

Portskanningar är en viktig del av att bygga ett bra försvar från cyberattacker. Angripare använder portskanningar också. Du måste slå dem till stansen och stänga möjliga attackvektorer och göra deras liv så svåra som möjligt.

att skydda omkretsen är dock bara en del av striden. Du måste skydda och övervaka dina data med samma vaksamhet som du skyddar och övervakar dina portar. Varonis Data Security Platform hjälper dig att skydda dina data genom att bygga interna hinder för dina mest känsliga data och sedan övervaka all aktivitet som kan påverka dessa data.

kolla in vårt Live Cyber Attack lab för att se hur Varonis skyddar data från olika attacker.