Ce este scanarea în port? Este similar cu un hoț care trece prin cartierul dvs. și verifică fiecare ușă și fereastră din fiecare casă pentru a vedea care dintre ele sunt deschise și care sunt blocate.
TCP ( Transmission Control Protocol ) și UDP (User Datagram Protocol) sunt două dintre protocoalele care alcătuiesc pachetul de protocoale TCP / IP care este folosit universal pentru a comunica pe Internet. Fiecare dintre acestea are porturi 0 până la 65535 disponibile, astfel încât, în esență, există mai mult de 65.000 de uși pentru a bloca.
Primele 1024 de porturi TCP sunt numite Porturi bine cunoscute și sunt asociate cu servicii standard precum FTP, HTTP, SMTP sau DNS . Unele dintre adresele de la 1023 au de asemenea servicii asociate în mod obișnuit, însă majoritatea acestor porturi nu sunt asociate cu niciun serviciu și sunt disponibile pentru un program sau o aplicație de utilizat pentru a comunica.
Cum funcționează scanarea porturilor
Software-ul de scanare port, în starea sa cea mai de bază, trimite pur și simplu o solicitare de a se conecta secvențial la computerul țintă pe fiecare port și notează porturile care au răspuns sau par a fi deschise pentru o analiză mai aprofundată.
Dacă scanarea portului se realizează cu intenție rău intenționată, intrusul ar prefera în general să meargă nedetectat. Aplicațiile de securitate a rețelei pot fi configurate pentru a avertiza administratorii dacă detectează cereri de conectare într-o gamă largă de porturi dintr-o singură gazdă. Pentru a face acest lucru, intrusul poate face scanarea portului în modul strobe sau stealth. Strobing limitează porturile la un set de destinații mai mici decât scanarea cu pătură la toate cele 65536 porturi. Scanarea stealth utilizează tehnici precum încetinirea scanării. Scanând porturile pe o perioadă mult mai lungă de timp, reduceți șansa ca țintă să declanșeze o alertă.
Prin setarea diferitelor parametrii TCP sau prin trimiterea diferitelor tipuri de pachete TCP, scanarea portului poate genera rezultate diferite sau poate localiza porturile deschise în moduri diferite. O scanare SYN va indica scanerului portului care porturi asculta si care nu depind de tipul de raspuns generat. O scanare FIN va genera un răspuns din porturile închise - dar porturile care sunt deschise și care ascultă nu vor trimite un răspuns, astfel încât scanerul portului va putea determina porturile care sunt deschise și care nu sunt.
Există o serie de metode diferite pentru a efectua scanările portului propriu-zis, precum și trucuri pentru a ascunde sursa adevărată de scanare port. Puteți citi mai multe despre unele dintre acestea vizitând aceste site-uri: Port Scanning sau Network Probes Explained.
Cum se monitorizează porturile de scanare
Este posibilă monitorizarea rețelei dvs. pentru scanarea porturilor. Trucul, ca și în majoritatea aspectelor legate de securitatea informațiilor , constă în găsirea unui echilibru între performanța rețelei și siguranța rețelei. Puteți monitoriza scanările SYN înregistrând orice încercare de a trimite un pachet SYN către un port care nu este deschis sau ascultat. Cu toate acestea, mai degrabă decât să fiți alertați de fiecare dată când are loc o singură încercare - și, eventual, trezirea în mijlocul nopții pentru o greșeală altfel nevinovată - ar trebui să decideți pragurile pentru a declanșa alerta. De exemplu, ați putea spune că dacă există mai mult de 10 încercări de pachete SYN la porturile care nu ascultă într-un anumit minut, alertarea ar trebui declanșată. Ați putea proiecta filtre și capcane pentru a detecta o varietate de metode de scanare a porturilor - urmărind un vârf în pachetele FIN sau doar un număr anormal de încercări de conectare la o varietate de porturi și / sau adrese IP dintr-o singură sursă IP.
Pentru a vă asigura că rețeaua dvs. este protejată și sigură, vă recomandăm să efectuați propriile scanări de porturi. Un avertisment MAJOR aici este să vă asigurați că aveți aprobarea tuturor puterilor care sunt înainte de a vă angaja în acest proiect pentru a nu vă afla pe partea greșită a legii. Pentru a obține rezultate exacte, ar fi mai bine să efectuați scanarea portului dintr-o locație la distanță folosind echipament non-companie și un ISP diferit . Utilizând software cum ar fi NMap, puteți scana o serie de adrese IP și porturi și aflați ce ar arăta un atacator dacă ar fi să-și scaneze portul în rețea. NMap, în special, vă permite să controlați aproape fiecare aspect al scanării și să efectuați diferite tipuri de scanări port pentru a se potrivi nevoilor dumneavoastră.
Odată ce aflați ce porturi răspund ca fiind deschise prin portul care vă scanează propria rețea, puteți începe să determinați dacă este necesar ca aceste porturi să fie accesibile din afara rețelei. Dacă nu sunt necesare, ar trebui să le închideți sau să le blocați. Dacă acestea sunt necesare, puteți începe să cercetați ce tipuri de vulnerabilități și exploatează rețeaua dvs. sunt deschise prin accesarea acestor porturi și depuneți eforturi pentru a aplica patch-uri sau mitigări adecvate pentru a vă proteja cât mai mult posibil rețeaua.