Что такое сканирование портов? Это похоже на вора, который проходит через ваш район и проверяет каждую дверь и окно в каждом доме, чтобы увидеть, какие из них открыты, а какие заперты.
TCP (протокол управления передачей) и UDP (протокол пользовательских дейтаграмм) являются двумя протоколами, которые составляют пакет протоколов TCP / IP, который используется повсеместно для связи в Интернете. У каждого из них есть доступные порты от 0 до 65535, так что, по сути, существует более 65 000 дверей для блокировки.
Первые 1024 порта TCP называются хорошо известными портами и связаны со стандартными службами, такими как FTP, HTTP, SMTP или DNS. Некоторые из адресов более 1023 также имеют обычно связанные службы, но большинство этих портов не связаны с какой-либо службой и доступны для использования программой или приложением для связи.
Как работает сканирование портов
Программное обеспечение для сканирования портов в своем основном состоянии просто отправляет запрос на последовательное подключение к целевому компьютеру на каждом порте и записывает, какие порты отреагировали или кажутся открытыми для более углубленного изучения.
Если сканирование порта выполняется злонамеренно, злоумышленник, как правило, предпочитает остаться незамеченным. Приложения сетевой безопасности могут быть настроены на оповещение администраторов, если они обнаруживают запросы на подключение через широкий диапазон портов с одного хоста. Чтобы обойти это, злоумышленник может выполнить сканирование портов в стробоскопическом или скрытом режиме. Стробирование ограничивает порты меньшим целевым набором, а не общим сканированием всех 65536 портов. При скрытом сканировании используются такие методы, как замедление сканирования. Сканируя порты в течение гораздо более длительного периода времени, вы уменьшаете вероятность того, что цель вызовет предупреждение.
Устанавливая разные флаги TCP или отправляя разные типы TCP-пакетов, сканирование портов может генерировать разные результаты или определять местонахождение открытых портов по-разному. Сканирование SYN сообщит сканеру портов, какие порты прослушивают, а какие не зависят от типа генерируемого ответа. Сканирование FIN будет генерировать ответ от закрытых портов, но открытые и прослушивающие порты не будут отправлять ответ, поэтому сканер портов сможет определить, какие порты открыты, а какие нет.
Существует множество различных способов выполнения фактического сканирования портов, а также приемы, позволяющие скрыть истинный источник сканирования портов.
Как следить за сканированием портов
Можно отслеживать вашу сеть для сканирования портов. Хитрость, как и в большинстве случаев в области информационной безопасности, заключается в том, чтобы найти правильный баланс между производительностью сети и безопасностью сети. Вы можете отслеживать сканирование SYN, регистрируя любые попытки отправить пакет SYN на порт, который не открыт или не прослушивается. Однако вместо того, чтобы получать оповещения каждый раз, когда происходит одиночная попытка и, возможно, пробуждаться посреди ночи за в противном случае невинную ошибку, вы должны выбрать пороговые значения для запуска оповещения. Например, вы могли бы сказать, что, если в течение данной минуты более 10 попыток пакета SYN к не прослушивающим портам, должно быть запущено оповещение. Вы можете разработать фильтры и ловушки для обнаружения различных методов сканирования портов, отслеживая скачок пакетов FIN или просто аномальное количество попыток подключения к различным портам и / или IP-адресам из одного источника IP.
Чтобы убедиться, что ваша сеть защищена и безопасна, вы можете выполнять сканирование портов самостоятельно. Главное предостережение заключается в том, чтобы вы получили одобрение всех полномочий, которые есть до того, как приступить к этому проекту, чтобы вы не оказались на неправильной стороне закона. Для получения точных результатов может быть лучше выполнить сканирование портов из удаленного местоположения, используя оборудование сторонних компаний и другого интернет-провайдера. Используя программное обеспечение, такое как Nmap, вы можете сканировать диапазон IP-адресов и портов и выяснить, что злоумышленник увидит, если он будет сканировать вашу сеть. NMap, в частности, позволяет вам контролировать практически все аспекты сканирования и выполнять различные типы сканирования портов в соответствии с вашими потребностями.
Как только вы узнаете, какие порты реагируют как открытые при сканировании портов вашей собственной сети, вы можете приступить к определению, действительно ли необходимо, чтобы эти порты были доступны извне вашей сети. Если они не нужны, вы должны закрыть их или заблокировать. Если они необходимы, вы можете начать исследовать, какие виды уязвимостей и уязвимостей открыта для вашей сети, имея доступ к этим портам и работая над применением соответствующих исправлений или мер по снижению защиты, чтобы максимально защитить вашу сеть.
