Mi a portszkennelés? Olyan, mint egy tolvaj, aki átmegy a környéken és ellenőrzi minden házon minden ajtót és ablakot, hogy lássa, melyik nyitva van és melyiket zárják.
A TCP (Transmission Control Protocol) és az UDP (User Datagram Protocol) két olyan protokoll, amely a TCP / IP protokollcsomagot alkotja, és amelyet általánosan használnak az interneten történő kommunikációhoz. Ezek mindegyike 0 és 65535 között van, így lényegében több mint 65 000 ajtó zárható.
Az első 1024 TCP portot jól ismert portoknak nevezik, és szabványos szolgáltatásokhoz kapcsolódik, például FTP, HTTP, SMTP vagy DNS. Az 1023-as feletti címek egy része általában társított szolgáltatásokkal is rendelkezik, de ezeknek a portoknak a többsége nem kapcsolódik semmilyen szolgáltatáshoz, és elérhető egy olyan programhoz vagy alkalmazáshoz, amelyen kommunikálni kíván.
Hogyan működik a portszkennelés
A portszkennelési szoftver a legegyszerűbb állapotban egyszerűen elküldi a kérést, hogy egymás után minden egyes portra csatlakozzon a célszámítógépen, és feljegyzi, hogy mely portok válaszoltak vagy nyitottabbá váltak a mélyebb próba céljára.
Ha a portkeresést rosszindulatú szándékkal végzik, az betolakodó általában inkább észre sem veszi. A hálózati biztonsági alkalmazások úgy konfigurálhatók, hogy figyelmeztessék az adminisztrátorokat, ha egy adott állomáson a portok széles választékán keresztül észlelik a kapcsolódási kéréseket. Ennek megkerülése érdekében a behatolók elvégezhetik a portkeresést strobe vagy lopakodó módban. A Strobing korlátozza a portokat egy kisebb célkészletre, nem pedig az összes 65536-os portra. Stealth szkennelés olyan technikákat használ, mint a leolvasás lassítása. Ha a portokat hosszú időn keresztül átvizsgálja, csökkenti azt a lehetőséget, hogy a cél figyelmeztetést indítson.
Más TCP-jelzők beállításával vagy különböző típusú TCP-csomagok küldésével a port-vizsgálat különböző eredményeket hozhat létre, vagy különböző módon megkeresheti a nyitott portokat. A SYN-szkennelés megmondja a portszkennernek, hogy mely portok hallgatnak, és amelyek nem függenek a generált válasz típusától. A FIN-vizsgálat a zárt portoktól érkező válaszokat generál, de a nyitott és a hallgatható portok nem küldnek választ, így a portszkenner képes lesz meghatározni, mely portok vannak nyitva, és amelyek nem.
Számos különböző módszer létezik a tényleges portfelvételek végrehajtására, valamint trükkökre, hogy elrejtse a port keresésének valódi forrását.
Hogyan kell figyelni a portok vizsgálatához
Lehetőség van arra, hogy a port figyelje a hálózatot. A trükk, mint az információbiztonság legtöbb dologja, megtalálja a megfelelő egyensúlyt a hálózati teljesítmény és a hálózati biztonság között. A SYN-beolvasásokat felügyelheti, ha naplóz egy SYN csomagot egy olyan portra, amely nem nyitott vagy hallgatott. Azonban ahelyett, hogy riasztásra kerülne minden egyes alkalommal, amikor egyetlen kísérlet fordul elő - és valószínűleg felébred az éjszaka közepén egy másként ártatlan hiba esetén - el kell döntenie a riasztási küszöbértékekről. Például azt mondhatjuk, hogy ha egy adott percben több mint 10 SYN csomag próbálkozik a nem hallgatható portokkal, akkor egy riasztást kell aktiválni. Szűrőket és csapdákat hozhat létre, hogy felismerje a portok vizsgálatának módszereit - figyeljen a FIN csomagok tüskéjére, vagy csak anomális számú kapcsolódási kísérletet végez különböző portokra és / vagy IP-címekre egyetlen IP forrásból.
Annak érdekében, hogy a hálózat védett és biztonságos legyen, lehet, hogy saját portfelvételeket kíván végrehajtani. A JELENTŐSEBB A figyelmeztetés itt annak biztosítására szolgál, hogy jóváhagyja a hatásköröket, mielőtt elindulna ehhez a projekthez, nehogy a törvény rossz oldalán találja magát. Pontos eredmények elérése érdekében előfordulhat, hogy a port-vizsgálatot távoli helyről a nem vállalati berendezések és egy másik internetszolgáltató segítségével végezzük. Az olyan szoftverek használatával, mint például az Nmap, IP-címek és portok skáláját is beolvashatjuk, és megtudhatjuk, hogy a támadó hogyan látja majd, ha portra szeretnének szkennelni a hálózatot. Az NMAP különösen lehetővé teszi a szkennelés szinte minden aspektusának ellenőrzését, és különböző típusú portkereséseket végez az igényeinek megfelelően.
Miután megtudja, hogy a kikötők miként reagálnak a saját hálózatának szkennelésével nyitott portra, megkezdheti a munkát annak meghatározásában, hogy valóban szükséges hogy ezek a kikötők elérhetők legyenek a hálózatán kívülről. Ha nem feltétlenül szükséges, zárja le vagy tiltsa le őket. Ha szükséges, akkor elkezdheti kutatni, hogy milyen típusú biztonsági rések és kihasználja a hálózatot, nyitva áll ahhoz, hogy ezek a portok elérhetők legyenek, és a megfelelő javítások vagy mérséklések alkalmazásával dolgozhassanak a hálózat védelme érdekében.
