Hva er portskanning? Det ligner en tyv som går gjennom nabolaget ditt og sjekker hver dør og vindu på hvert hus for å se hvilke som er åpne og hvilke som er låst.
TCP (Transmission Control Protocol) og UDP (User Datagram Protocol) er to av protokollene som utgjør TCP / IP protokollpakken som brukes universelt til å kommunisere på Internett. Hver av disse har porter 0 til 65535 tilgjengelig, så det er i hovedsak mer enn 65 000 dører å låse.
De første 1024 TCP-portene kalles de velkjente portene og er knyttet til standardtjenester som FTP, HTTP, SMTP eller DNS. Noen adresser over 1023 har også ofte tilknyttede tjenester, men flertallet av disse porter er ikke knyttet til noen tjeneste og er tilgjengelige for et program eller program som skal brukes til å kommunisere på.
Slik fungerer portskanning
Portscanningsprogramvare, i sin mest grunnleggende tilstand, sender rett og slett en forespørsel om å koble til måldatamaskinen på hver port i rekkefølge og noterer seg hvilke porte som reagerte eller virket åpne for mer grundig undersøkelse.
Hvis portskanningen blir gjort med ondsinnet hensikt, vil inntrengeren generelt foretrekke å gå uoppdaget. Nettverkssikkerhetsprogrammer kan konfigureres til å varsle administratorer hvis de oppdager tilkoblingsforespørsler på tvers av et bredt spekter av porter fra en enkelt vert. For å komme seg rundt dette, kan inntrengeren gjøre portskanningen i strobe eller stealth-modus. Strobing begrenser porter til et mindre mål sett i stedet for teppe skanner alle 65536 porter. Stealth-skanning bruker teknikker som å senke skanningen. Ved å skanne portene over en mye lengre periode reduserer du sjansen for at målet vil utløse et varsel.
Ved å sette forskjellige TCP-flagg eller sende forskjellige typer TCP-pakker, kan portskanningen generere forskjellige resultater eller finne åpne porter på forskjellige måter. En SYN-skanning vil fortelle portskanneren hvilke porter som lytter og som ikke er avhengig av hvilken type respons som er generert. En FIN-skanning vil generere et svar fra lukkede porter, men portene som er åpne og lytte vil ikke sende et svar, så portskanneren vil kunne bestemme hvilke porter som er åpne og hvilke som ikke er.
Det finnes en rekke forskjellige metoder for å utføre de faktiske portskanninger samt triks for å skjule den sanne kilden til en portskanning.
Slik overvåker du portskanninger
Det er mulig å overvåke nettverket ditt for portskanninger. Trikset, som med de fleste ting i informasjonssikkerhet, er å finne den rette balansen mellom nettverksytelse og nettverkssikkerhet. Du kan overvåke for SYN-skanninger ved å logge på et forsøk på å sende en SYN-pakke til en port som ikke er åpen eller lytter. Men i stedet for å bli varslet hver gang et enkelt forsøk oppstår - og muligens blir vekket midt på natten for en ellers uskyldig feil - bør du bestemme terskler for å utløse varselet. For eksempel kan du si at hvis det er mer enn 10 SYN pakkeforsøk på ikke-lyttende porter i et gitt minutt at et varsel skal utløses. Du kan designe filtre og feller for å oppdage en rekke portscanningsmetoder - se etter en spike i FIN-pakker eller bare et uregelmessig antall tilkoblingsforsøk på en rekke porter og / eller IP-adresser fra en enkelt IP-kilde.
For å sikre at nettverket ditt er beskyttet og sikkert, kan det hende du ønsker å utføre dine egne portskanninger. EN MAJOR hilsen her er å sikre at du har godkjenning av alle kreftene som er før du begynner på dette prosjektet, slik at du ikke finner deg selv på feil side av loven. For å få nøyaktige resultater kan det være best å utføre portskanningen fra en ekstern plassering ved hjelp av ikke-selskapsutstyr og en annen Internett-leverandør. Ved hjelp av programvare som Nmap kan du skanne en rekke IP-adresser og porter og finne ut hva en angriper ville se om de skulle porten skanne nettverket ditt. Spesielt kan NMap du kontrollere nesten alle aspekter av skanningen og utføre ulike typer portskanninger som passer dine behov.
Når du har funnet ut hvilke porte som svarer til å være åpen ved port, skanner ditt eget nettverk, kan du begynne å jobbe med å avgjøre om det egentlig er nødvendig for at disse portene skal være tilgjengelige fra utenfor nettverket ditt. Hvis de ikke er nødvendige, bør du stenge dem eller blokkere dem. Hvis det er nødvendig, kan du begynne å undersøke hva slags sårbarheter og utnytter nettverket ditt er åpent for ved å ha disse porterne tilgjengelige og arbeide for å bruke de riktige oppdateringene eller begrensninger for å beskytte nettverket ditt så mye som mulig.
