Что такое сканирование портов? Это похоже на вора, проходящего через ваше соседство и проверяющего каждую дверь и окно в каждом доме, чтобы увидеть, какие из них открыты, а какие - заперты.
TCP (протокол управления передачей) и UDP (User Datagram Protocol) - это два протокола, которые составляют пакет протоколов TCP / IP, который используется повсеместно для связи в Интернете. Каждый из них имеет порты от 0 до 65535, поэтому по существу есть более 65 000 дверей для блокировки.
Первые 1024 порта TCP называются хорошо известными портами и связаны со стандартными службами, такими как FTP, HTTP, SMTP или DNS. Некоторые из адресов более 1023 также имеют общие службы, но большинство этих портов не связаны ни с какой службой и доступны для использования в программе или приложении для связи.
Как работает сканирование портов
Программное обеспечение сканирования портов в своем самом базовом состоянии просто отправляет запрос для последовательного подключения к целевому компьютеру на каждом порту и отмечает, какие порты откликаются или кажутся открытыми для более глубокого зондирования.
Если сканирование портов выполняется со злым умыслом, злоумышленник обычно предпочитает оставаться незамеченным. Приложения сетевой безопасности могут быть настроены для предупреждения администраторов, если они обнаруживают запросы на соединение в широком диапазоне портов с одного хоста. Чтобы обойти это, злоумышленник может выполнить сканирование портов в режиме строба или скрытности. Стробирование ограничивает порты меньшим целевым набором, а не полностью сканирует все порты 65536. Сканирование скрытности использует такие методы, как замедление сканирования. Сканируя порты в течение более длительного периода времени, вы уменьшаете вероятность того, что цель вызовет предупреждение.
Установив различные флаги TCP или отправляя различные типы TCP-пакетов, сканирование портов может генерировать разные результаты или открывать открытые порты по-разному. Сканирование SYN скажет сканеру портов, какие порты прослушивают и которые не зависят от типа генерируемого ответа. Сканирование FIN будет генерировать ответ от закрытых портов, но порты, которые открыты и прослушиваются, не отправят ответ, поэтому сканер портов сможет определить, какие порты открыты, а какие нет.
Существует множество различных способов выполнения фактических сканирований портов, а также трюков, чтобы скрыть истинный источник сканирования порта.
Как отслеживать сканирование портов
Мониторинг портов можно отслеживать через сеть. Трюк, как и большинство аспектов информационной безопасности, заключается в том, чтобы найти правильный баланс между производительностью сети и безопасностью сети. Вы можете отслеживать сканирование SYN, регистрируя любую попытку отправки SYN-пакета на порт, который не открыт или не прослушивается. Однако, вместо того, чтобы быть предупрежденным каждый раз, когда происходит одна попытка - и, возможно, пробуждается посреди ночи для другой невинной ошибки - вы должны принять решение о пороговых значениях для запуска предупреждения. Например, вы можете сказать, что если более 10 попыток SYN-пакета не прослушивают порты в заданную минуту, необходимо вызвать предупреждение. Вы можете создавать фильтры и ловушки для обнаружения множества методов сканирования портов - наблюдать за шипами в пакетах FIN или просто аномальное количество попыток подключения к различным портам и / или IP-адресам из одного источника IP.
Чтобы гарантировать, что ваша сеть защищена и защищена, вы можете выполнить собственное сканирование портов. ОСНОВНОЙ предостережение здесь состоит в том, чтобы обеспечить вам одобрение всех полномочий, которые перед тем, как приступить к этому проекту, чтобы вы не оказались на неправильной стороне закона. Чтобы получить точные результаты, лучше всего выполнить сканирование портов с удаленного места с использованием некомпактного оборудования и другого провайдера. Используя программное обеспечение, такое как Nmap, вы можете сканировать диапазон IP-адресов и портов и узнать, что увидит злоумышленник, если они будут пытаться сканировать вашу сеть. NMap, в частности, позволяет вам контролировать практически все аспекты сканирования и выполнять различные типы сканирования портов в соответствии с вашими потребностями.
Как только вы узнаете, какие порты реагируют как открытые при сканировании портов вашей собственной сети, вы можете приступить к определению того, действительно ли это необходимо для того, чтобы эти порты были доступны извне вашей сети. Если они не нужны, вы должны закрыть их или заблокировать. Если это необходимо, вы можете начать исследовать, какие уязвимости и использует вашу сеть, открывая доступ к этим портам и работая над применением соответствующих исправлений или смягчением, чтобы максимально защитить вашу сеть.
