HTG обяснява Какво е сканиране на портове?
Сканирането на портове е малко като придвижване на куп дръжки, за да се види кои врати са заключени. Скенерът научава кои портове на маршрутизатор или защитна стена са отворени и може да използва тази информация, за да открие потенциалните слабости на компютърната система.
Какво е пристанище?
Когато дадено устройство се свърже с друго устройство през мрежа, то определя номер на TCP или UDP порт от 0 до 65535. Някои портове обаче се използват по-често. TCP портовете от 0 до 1023 са "добре познати портове", които предоставят системни услуги. Например, порт 20 е FTP прехвърляне на файлове, порт 22 е Secure Shell (SSH) терминални връзки, порт 80 е стандартен HTTP уеб трафик, а порт 443 е криптиран HTTPS. Така че, когато се свържете към защитен уебсайт, вашият уеб браузър говори с уеб сървъра, който слуша на порт 443 на този сървър.
Услугите не винаги трябва да работят на тези конкретни портове. Например, можете да стартирате HTTPS уеб сървър на порт 32342 или Secure Shell сървър на порт 65001, ако ви харесва. Това са само стандартните настройки.
Какво е сканиране на портове?
Сканирането на портове е процес на проверка на всички портове на IP адрес, за да се види дали те са отворени или затворени. Софтуерът за сканиране на портове ще провери порт 0, порт 1, порт 2 и през целия порт до порт 65535. Той прави това, като просто изпраща заявка до всяко пристанище и иска отговор. В най-простия си вид софтуерът за сканиране на портове пита за всеки порт едно по едно. Отдалечената система ще отговори и ще каже дали портът е отворен или затворен. Лицето, което изпълнява сканирането на портове, ще знае кои отворени портове.
Всички мрежови защитни стени по пътя могат да блокират или по друг начин да прекъснат трафика, така че сканирането на портове също е метод за намиране на кои портове са достъпни или изложени на мрежата в тази отдалечена система.
Инструментът nmap е обща мрежова програма, използвана за сканиране на портове, но има и много други инструменти за сканиране на портове.
Защо хората извършват сканиране на портове?
Сканирането на портове е полезно за определяне на уязвимостите на системата. Сканирането на портове ще каже на хакер кои портове са отворени в системата и това ще им помогне да формулират план за атака. Например, ако Secure Shell (SSH) сървър е бил открит като слушане на порт 22, нападателят може да се опита да се свърже и да провери за слаби пароли. Ако друг тип сървър слуша на друго пристанище, нападателят може да го набута и да види дали има грешка, която може да бъде използвана. Може би се изпълнява стара версия на софтуера и има известна дупка в сигурността.
Тези видове сканирания също могат да помогнат за откриване на услуги, изпълнявани в портове, които не са по подразбиране. Така че, ако използвате SSH сървър на порт 65001 вместо порт 22, сканирането на портове ще разкрие това и нападателят може да опита да се свърже с вашия SSH сървър на този порт. Не можете просто да скриете сървър на порт, който не е по подразбиране, за да защитите системата си, въпреки че тя прави сървъра по-трудно за намиране.
Сканирането на портове не се използва само от атакуващите. Сканирането на портове е полезно за пробно пробно тестване. Една организация може да сканира собствените си системи, за да определи кои услуги са изложени на мрежата и да се уверят, че са конфигурирани сигурно.
Колко опасно са сканираните пристанища?
Сканирането на портове може да помогне на нападателя да намери слабо място за атака и пробив в компютърна система. Това е само първата стъпка. Само защото сте открили отворен порт не означава, че можете да го атакувате. Но след като откриете отворен порт, работещ с услуга за слушане, можете да го сканирате за уязвимости. Това е истинската опасност.
На вашата домашна мрежа почти сигурно имате рутер, който седи между вас и интернет. Някой в интернет ще може само да сканира маршрутизатора ви и няма да намерят нищо освен потенциалните услуги на самия рутер. Този рутер действа като защитна стена - освен ако не сте препратили отделни портове от маршрутизатора към устройство, в който случай тези конкретни портове са изложени на интернет.
За компютърни сървъри и корпоративни мрежи, защитните стени могат да бъдат конфигурирани да откриват сканиране на портове и да блокират трафика от адреса, който сканира. Ако всички услуги, изложени на интернет, са конфигурирани сигурно и нямат известни дупки в сигурността, сканирането на портове не трябва дори да е твърде страшно.
Видове сканиране на портове
При сканиране на порт "TCP full connection", скенерът изпраща съобщение за SYN (заявка за свързване) към порт. Ако портът е отворен, отдалечената система отговаря със съобщение SYN-ACK (потвърждение). Скенерът реагира със собствено съобщение ACK (потвърждение). Това е ръкостискане с пълна TCP връзка и скенерът знае, че системата приема връзки на порт, ако този процес се осъществи.
Ако портът е затворен, отдалечената система ще отговори с RST (reset) съобщение. Ако отдалечената система просто не присъства в мрежата, няма да има отговор.
Някои скенери извършват „полуотворено“ TCP сканиране. Вместо да преминават през пълен SYN, SYN-ACK и след това ACK цикъл, те просто изпращат SYN и чакат за отговор SYN-ACK или RST съобщение. Няма нужда да изпращате окончателен ACK, за да завършите връзката, тъй като SYN-ACK ще каже на скенера всичко, което трябва да знае. Това е по-бързо, защото трябва да бъдат изпратени по-малко пакети.
Други видове сканирания включват изпращане на непознати, деформирани типове пакети и изчакване, за да се види дали отдалечената система връща RST пакет, затварящ връзката. Ако това се случи, скенерът знае, че на това място има отдалечена система и че един конкретен порт е затворен за него. Ако не е получен пакет, скенерът знае, че портът трябва да е отворен.
Лесно сканиране на портове, при което софтуерът изисква информация за всеки порт, един по един, е лесно да се забележи. Мрежовите защитни стени могат лесно да бъдат конфигурирани да откриват и спират това поведение.
Ето защо някои техники за сканиране на портове работят по различен начин. Например при сканиране на портове може да се сканира по-малък обхват от портове или може да се сканира пълният набор от портове за много по-дълъг период, така че да бъде по-трудно да се открие.
Сканирането на портове е основно средство за защита на хляб и масло, когато става въпрос за проникване (и обезопасяване) на компютърни системи. Но те са просто инструмент, който позволява на нападателите да открият портове, които могат да бъдат уязвими за атака. Те не дават на атакуващия достъп до системата и сигурно конфигурираната система със сигурност може да издържи пълно сканиране на портове без никаква вреда.
Снимка: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.