If-Koubou

HTG explică: Ce este scanarea pe port?

HTG explică: Ce este scanarea pe port? (Cum să)

O scanare de port este un pic cam ca un jargon de ciocane pentru a vedea care uși sunt blocate. Scanerul află că porturile de pe un router sau un firewall sunt deschise și pot utiliza aceste informații pentru a găsi punctele slabe ale sistemului computerului.

Ce este un port?

Atunci când un dispozitiv se conectează la alt dispozitiv printr-o rețea, acesta specifică un număr de port TCP sau UDP de la 0 la 65535. Unele porturi sunt totuși folosite mai frecvent. Porturile TCP 0 până la 1023 sunt "porturi bine cunoscute" care furnizează servicii de sistem. De exemplu, portul 20 este transferul fișierelor FTP, portul 22 este conexiunile terminale Secure Shell (SSH), portul 80 este traficul web standard HTTP și portul 443 este criptat HTTPS. Deci, când vă conectați la un site securizat, browserul dvs. web se adresează serverului web care asculta pe portul 443 al acelui server.

Serviciile nu trebuie întotdeauna să ruleze pe aceste porturi specifice. De exemplu, ați putea rula un server web HTTPS pe portul 32342 sau un server Secure Shell pe portul 65001, dacă v-ați plăcut. Acestea sunt doar setările implicite standard.

Ce este un port de scanare?

O scanare port este un proces de verificare a tuturor porturilor la o adresă IP pentru a vedea dacă acestea sunt deschise sau închise. Software-ul de scanare port ar verifica portul 0, portul 1, portul 2 și până la portul 65535. Face acest lucru prin trimiterea unei cereri către fiecare port și solicitând un răspuns. În forma sa cea mai simplă, software-ul de scanare de port solicită fiecare port, unul câte unul. Sistemul la distanță va răspunde și va spune dacă un port este deschis sau închis. Persoana care execută scanarea portului va afla apoi ce porturi sunt deschise.

Toate firewall-urile din rețea pot bloca sau pot să scadă în alt fel traficul, astfel încât scanarea portului este, de asemenea, o metodă de identificare a porturilor care pot fi accesate sau expuse rețelei pe acel sistem la distanță.

Instrumentul nmap este un utilitar de rețea comun folosit pentru scanarea portului, dar există multe alte instrumente de scanare a porturilor.

De ce oamenii rulează porturile de scanare?

Scanarea porturilor este utilă pentru a determina vulnerabilitățile unui sistem. O scanare port ar spune unui atacator care sunt porturile deschise pe sistem, ceea ce le-ar ajuta să formuleze un plan de atac. De exemplu, dacă un server Secure Shell (SSH) a fost detectat ca fiind ascultat pe portul 22, atacatorul ar putea încerca să se conecteze și să verifice parolele slabe. Dacă un alt tip de server ascultă pe un alt port, atacatorul ar putea să-l ducă și să vadă dacă există un bug care poate fi exploatat. Poate că o versiune veche a software-ului rulează și există o gaură de securitate cunoscută.

Aceste tipuri de scanări pot, de asemenea, ajuta la detectarea serviciilor care rulează pe porturi non-implicite. Deci, dacă rulați un server SSH pe portul 65001 în loc de portul 22, scanarea portului ar dezvălui acest lucru, iar atacatorul ar putea încerca să se conecteze la serverul SSH din acel port. Nu puteți ascunde un server de pe un port non-implicit pentru a vă asigura sistemul, deși face ca serverul să fie mai greu de găsit.

Scanările de port nu sunt folosite doar de atacatori. Scanarea porturilor este utilă pentru testarea defensivă. O organizație își poate scana propriile sisteme pentru a determina ce servicii sunt expuse la rețea și pentru a le asigura că sunt configurate în siguranță.

Cât de periculoase sunt porturile de scanare?

O scanare port poate ajuta un atacator să găsească un punct slab pentru a ataca și a sparge un sistem informatic. Este doar primul pas, totuși. Doar pentru că ați găsit un port deschis nu înseamnă că o puteți ataca. Dar, odată ce ați găsit un port deschis care rulează un serviciu de ascultare, îl puteți scana pentru vulnerabilități. Acesta este pericolul real.

În rețeaua dvs. de domiciliu, aproape sigur aveți un router așezat între dvs. și Internet. Cineva de pe Internet va putea să-și scaneze router-ul și nu ar găsi nimic în afară de serviciile potențiale de pe routerul însuși. Acest router funcționează ca un firewall - cu excepția cazului în care ați redirecționat porturi individuale de la router la un dispozitiv, caz în care acele porturi specifice sunt expuse la Internet.

Pentru serverele de computere și rețelele corporative, firewall-urile pot fi configurate pentru a detecta scanarea porturilor și pentru a bloca traficul de la adresa care este scanată. Dacă toate serviciile expuse la internet sunt configurate în siguranță și nu au găuri de securitate cunoscute, scanările de port nu ar trebui să fie chiar prea înfricoșătoare.

Tipurile de scanări portuare

Într-o scanare de port "TCP full connection", scanerul trimite un mesaj SYN (cerere de conexiune) către un port. Dacă portul este deschis, sistemul de la distanță răspunde cu un mesaj SYN-ACK (confirmare). Scanerul răspunde cu propriul său mesaj ACK (confirmare). Aceasta este o strângere de mână cu conexiune TCP completă, iar scanerul știe că sistemul acceptă conexiuni pe un port dacă are loc acest proces.

Dacă portul este închis, sistemul de la distanță va răspunde cu un mesaj RST (resetare). Dacă sistemul de la distanță nu este prezent în rețea, nu va exista niciun răspuns.

Unele scanere efectuează o scanare "TCP semi-deschisă". În loc să treacă printr-un ciclu complet SYN, SYN-ACK și apoi ACK, ei trimit doar un SYN și așteaptă un mesaj SYN-ACK sau RST ca răspuns. Nu este nevoie să trimiteți un ACK final pentru a finaliza conexiunea, deoarece SYN-ACK ar spune scanerului tot ce trebuie să știe. Este mai rapid, deoarece trebuie trimise mai puține pachete.

Alte tipuri de scanări implică trimiterea unor tipuri de pachete străine, defecte și așteptând să vadă dacă sistemul la distanță returnează un pachet RST care închide conexiunea. În caz contrar, scanerul știe că există un sistem la distanță în acel loc și că un anumit port este închis. Dacă nu este primit niciun pachet, scanerul știe că portul trebuie să fie deschis.

O scanare simplă a porturilor în care software-ul solicită informații despre fiecare port, unul câte unul, este ușor de identificat. Firewall-urile de rețea pot fi ușor configurate pentru a detecta și a opri acest comportament.

De aceea unele tehnici de scanare port funcționează diferit.De exemplu, o scanare port ar putea scana o gamă mai mică de porturi sau ar putea scana întreaga gamă de porturi într-o perioadă mult mai lungă, astfel încât ar fi mai dificil de detectat.

Scanarea porturilor este un instrument de securitate de bază, de pâine și unt, când vine vorba de sistemele informatice penetrante (și securizate). Dar ele sunt doar un instrument care permite atacatorilor să găsească porturi care ar putea fi vulnerabile la atac. Ele nu dau accesul unui atacator la un sistem, iar un sistem configurat în siguranță poate rezista cu siguranță la o scanare completă a portului, fără nici un rău.

Credit de imagine: xfilephotos / Shutterstock.com, Idea casezy / Shutterstock.com.