HTG vysvetľuje: Čo je port scanning?

Obsah:

HTG vysvetľuje: Čo je port scanning?
HTG vysvetľuje: Čo je port scanning?
Anonim
Skenovanie portov je trochu ako prehratie veľa kľukov, aby ste zistili, ktoré dvere sú zamknuté. Skener sa dozvie, ktoré porty sú na routeru alebo bráne firewall otvorené, a môže použiť tieto informácie na nájdenie potenciálnych slabých stránok počítačového systému.
Skenovanie portov je trochu ako prehratie veľa kľukov, aby ste zistili, ktoré dvere sú zamknuté. Skener sa dozvie, ktoré porty sú na routeru alebo bráne firewall otvorené, a môže použiť tieto informácie na nájdenie potenciálnych slabých stránok počítačového systému.

Čo je to port?

Keď sa zariadenie pripája k inému zariadeniu prostredníctvom siete, určuje číslo portu TCP alebo UDP od 0 do 65535. Niektoré porty sa však používajú častejšie. TCP porty 0 až 1023 sú "dobre známe porty", ktoré poskytujú systémové služby. Napríklad port 20 je prenos súborov FTP, port 22 je pripojenie terminálu Secure Shell (SSH), port 80 je štandardný webový prenos HTTP a port 443 je zašifrovaný protokol HTTPS. Keď sa teda pripojíte na bezpečnú webovú stránku, váš webový prehliadač rozpráva s webovým serverom, ktorý počúva na portu 443 daného servera.

Služby nie vždy musia byť spustené na týchto špecifických portoch. Môžete napríklad spustiť webový server HTTPS na portu 32342 alebo server Secure Shell na portu 65001, ak sa vám páči. Toto sú len štandardné predvolené hodnoty.

Čo je to Port Scan?

Kontrola portov je proces kontroly všetkých portov na adrese IP, aby sa zistilo, či sú otvorené alebo zatvorené. Port-scanning softvér by skontroloval port 0, port 1, port 2 a celú cestu až do portu 65535. To robí jednoduchým odoslaním požiadavky na každý port a požiadať o odpoveď. V najjednoduchšej podobe sa softvér port scanning pýta na každý port, jeden po druhom. Vzdálený systém odpovie a povie, či je port otvorený alebo zatvorený. Osoba spustená pri skenovaní portu potom bude vedieť, ktoré porty sú otvorené.

Akékoľvek sieťové brány firewall môžu spôsobiť zablokovanie alebo inak znížiť návštevnosť, takže skenovanie portov je tiež spôsob, ako nájsť, ktoré porty sú na tomto vzdialenom systéme dostupné alebo sú vystavené sieti.

Nástroj nmap je spoločný sieťový nástroj, ktorý sa používa na skenovanie portov, ale existuje mnoho ďalších nástrojov na skenovanie portov.

Prečo ľudia vykonávajú kontrolu portov?

Skenovanie portov je užitočné pri určovaní zraniteľnosti systému. Port scan by povedal útočníkovi, ktoré porty sú otvorené v systéme, a to by im pomohlo formulovať plán útoku. Napríklad, ak bol detekovaný server Secure Shell (SSH) ako počúvanie na portu 22, útočník by sa mohol pokúsiť pripojiť a skontrolovať slabé heslá. Ak iný typ servera počúva na inom porte, útočník by sa na to mohol pokúsiť a zistiť, či existuje chyba, ktorá môže byť zneužitá. Pravdepodobne beží stará verzia softvéru a je tu známy bezpečnostný otvor.
Skenovanie portov je užitočné pri určovaní zraniteľnosti systému. Port scan by povedal útočníkovi, ktoré porty sú otvorené v systéme, a to by im pomohlo formulovať plán útoku. Napríklad, ak bol detekovaný server Secure Shell (SSH) ako počúvanie na portu 22, útočník by sa mohol pokúsiť pripojiť a skontrolovať slabé heslá. Ak iný typ servera počúva na inom porte, útočník by sa na to mohol pokúsiť a zistiť, či existuje chyba, ktorá môže byť zneužitá. Pravdepodobne beží stará verzia softvéru a je tu známy bezpečnostný otvor.

Tieto typy skenovania môžu tiež pomôcť odhaliť služby bežiace na neštandardných portoch. Ak používate server SSH na portu 65001 namiesto portu 22, skenovanie portu to odhalí a útočník by sa mohol pokúsiť pripojiť k vášmu SSH serveru na danom portu. Nemôžete skryť server na inom než predvolenom porte, aby ste zabezpečili systém, aj keď to robí server ťažšie nájsť.

Skenovanie portov nie sú používané iba útočníkmi. Skenovanie portov je užitočné pre defenzívne prenikavé testovanie. Organizácia dokáže skenovať vlastné systémy, aby určila, ktoré služby sú vystavené sieti, a zabezpečia, aby boli nakonfigurované bezpečne.

Ako sú nebezpečné porty?

Skenovanie portov môže pomôcť útočníkovi nájsť slabý bod na útok a preniknutie do počítačového systému. Je to však len prvý krok. Len preto, že ste našli otvorený port, neznamená, že ho môžete napadnúť. Ale akonáhle nájdete otvorený port, na ktorom beží služba počúvania, môžete ho skenovať zraniteľnými miestami. To je skutočné nebezpečenstvo.

Vo vašej domácej sieti máte takmer určite router medzi vami a internetom. Niekto na internete bude môcť iba port-scan váš smerovač a nenašli by nič okrem potenciálnych služieb na samotnom routeri. Tento smerovač funguje ako brána firewall - pokiaľ ste nepredali jednotlivé porty z vášho smerovača na zariadenie, v takom prípade sú tieto špecifické porty vystavené na internete.

V prípade počítačových serverov a podnikových sietí môžu byť firewally nakonfigurované tak, aby detekovali skenovanie portov a zablokovali prevádzku z adresy, ktorá je skenovaná. Ak sú všetky služby vystavené na internete bezpečne nakonfigurované a nemajú žiadne známe bezpečnostné otvory, skenovanie portov by nemalo byť ani príliš hrozné.

Typy portov

Pri skenovaní portu "TCP plné pripojenie" skener odošle správu SYN (žiadosť o pripojenie) k portu. Ak je port otvorený, vzdialený systém odpovedá správou SYN-ACK (potvrdenie). Skener skôr reaguje na svoju vlastnú správu ACK (potvrdenie). Jedná sa o plné ovládanie pripojenia TCP a skener vie, že systém akceptuje pripojenia na port, ak sa tento proces uskutoční.
Pri skenovaní portu "TCP plné pripojenie" skener odošle správu SYN (žiadosť o pripojenie) k portu. Ak je port otvorený, vzdialený systém odpovedá správou SYN-ACK (potvrdenie). Skener skôr reaguje na svoju vlastnú správu ACK (potvrdenie). Jedná sa o plné ovládanie pripojenia TCP a skener vie, že systém akceptuje pripojenia na port, ak sa tento proces uskutoční.

Ak je port zatvorený, vzdialený systém bude reagovať pomocou správy RST (reset). Ak sa vzdialený systém práve nenachádza v sieti, nedôjde k žiadnej odpovedi.

Niektoré skenery vykonávajú skenovanie "TCP polovične otvorené". Namiesto toho, aby prešli celým cyklom SYN, SYN-ACK a potom ACK, poslali SYN a čakali na odpoveď správy SYN-ACK alebo RST. Nie je potrebné posielať konečné ACK na dokončenie pripojenia, pretože SYN-ACK povedie skenerovi všetko, čo potrebuje vedieť. Je to rýchlejšie, pretože je potrebné odoslať menej paketov.

Iné typy skenov zahŕňajú odosielanie cudzích, nesprávne vytvorených typov paketov a čakanie na to, či vzdialený systém vráti RST paket uzatvárajúci spojenie.Ak áno, skener vie, že na danom mieste je vzdialený systém a že na ňom je uzavretý jeden konkrétny port. Ak nie je prijatý žiadny paket, skener vie, že port musí byť otvorený.

Jednoduchá kontrola portov, kde softvér požaduje informácie o každom portu, je jeden po druhom jednoduchý. Sieťové firewally môžu byť ľahko nakonfigurované na detekciu a zastavenie tohto správania.

Preto niektoré techniky skenovania portov pracujú inak. Napríklad scan portu by mohol skenovať menšiu škálu portov, alebo by mohol skenovať celý rozsah portov počas oveľa dlhšieho obdobia, takže by bolo ťažšie zistiť.

Skenovanie prístavov je základným bezpečnostným nástrojom na chlieb a maslo, pokiaľ ide o prenikanie (a zabezpečenie) počítačových systémov. Ale sú to len nástroje, ktoré umožňujú útočníkom nájsť porty, ktoré môžu byť citlivé na útok. Neposkytujú útočníkovi prístup k systému a bezpečne nakonfigurovaný systém môže určite vydržať úplnú kontrolu portov bez poškodenia.

Odporúča: