Vad är portscanning? Det liknar en tjuv som går igenom ditt grannskap och kontrollerar varje dörr och fönster på varje hus för att se vilka som är öppna och vilka som är låsta.
TCP (Transmission Control Protocol) och UDP (User Datagram Protocol) är två av de protokoll som utgör TCP / IP-protokollpaketet som används universellt för att kommunicera på Internet. Var och en av dessa har portar 0 till 65535 tillgängliga, så i huvudsak finns det över 65 000 dörrar att låsa.
De första 1024 TCP-portarna heter de välkända portarna och är associerade med standardtjänster som FTP, HTTP, SMTP eller DNS. Några av adresserna över 1023 har också vanligtvis förbundna tjänster, men de flesta av dessa portar är inte kopplade till någon tjänst och är tillgängliga för ett program eller program som ska användas för att kommunicera på.
Hur Port Scanning fungerar
Portscanningsprogrammet, i sitt mest grundläggande tillstånd, skickar helt enkelt en begäran om att ansluta till måldatorn på varje port i följd och noterar vilka portar som svarat eller verkar öppna för mer djupgående sonderingar.
Om portsökningen görs med skadlig avsikt skulle inkräktaren i allmänhet föredra att gå oupptäckt. Nätverkssäkerhetsapplikationer kan konfigureras för att varna administratörer om de upptäcker anslutningsförfrågningar över ett brett spektrum av portar från en enda värd. För att komma runt detta kan inkräktaren göra portskanningen i strobe eller stealth mode. Strobing begränsar portarna till en mindre målset istället för filtskanning alla 65536 portar. Stealth-skanning använder tekniker som att sänka skanningen. Genom att skanna portarna över en mycket längre tid reducerar du chansen att målet kommer att utlösa en varning.
Genom att ställa in olika TCP-flaggor eller skicka olika typer av TCP-paket kan portsökningen generera olika resultat eller hitta öppna portar på olika sätt. En SYN-skanning kommer att berätta portskannern vilka portar lyssnar och vilka inte beror på vilken typ av svar som genereras. En FIN-skanning kommer att generera ett svar från stängda portar, men portar som är öppna och lyssna kommer inte att skicka ett svar, så portskannern kan bestämma vilka portar som är öppna och vilka inte är.
Det finns ett antal olika metoder för att utföra de faktiska portskanningarna samt knep för att dölja den verkliga källan till en portsökning.
Så här övervakar du portskanningar
Det är möjligt att övervaka ditt nätverk för portscanning. Tricket, som med de flesta saker i informationssäkerhet, är att hitta rätt balans mellan nätverksprestanda och nätverkssäkerhet. Du kan övervaka för SYN-skanningar genom att logga in ett försök att skicka ett SYN-paket till en port som inte är öppen eller lyssnar. Men i stället för att bli varnad varje gång ett enda försök uppstår - och eventuellt uppvaknas mitt på natten för ett annat oskyldigt misstag - bör du bestämma tröskelvärdena för att utlösa varningen. Till exempel kan du säga att om det finns mer än 10 SYN-paket försök att inte lyssna portar i en viss minut att en varning ska utlösas. Du kan utforma filter och fällor för att upptäcka en mängd olika portscanningsmetoder - titta på en spik i FIN-paket eller bara ett avvikande antal anslutningsförsök till olika portar och / eller IP-adresser från en enda IP-källa.
För att säkerställa att ditt nätverk är skyddat och säkert kan du önska att utföra egna portscanningar. en STÖRRE försiktighet här är att se till att du har godkännande av alla befogenheter som är innan du börjar med detta projekt så att du inte befinner dig på fel sida av lagen. För att få exakta resultat kan det vara bäst att utföra portsökning från en fjärransluten plats med hjälp av icke-företagsutrustning och en annan Internetleverantör. Med hjälp av programvara som Nmap kan du skanna en rad IP-adresser och portar och ta reda på vad en angripare skulle se om de skulle hamna i ditt nätverk. I synnerhet kan du använda NMap för att styra nästan alla aspekter av skanningen och utföra olika typer av portskanningar som passar dina behov.
När du väl har hittat vilka portar som svarar som öppna via porten, skannar du ditt eget nätverk kan du börja arbeta för att bestämma om det verkligen är nödvändig för att dessa hamnar ska kunna nås utanför ditt nätverk. Om de inte är nödvändiga bör du stänga av dem eller blockera dem. Om det är nödvändigt kan du börja undersöka vilka slags sårbarheter och utnyttjar ditt nätverk som är öppet genom att ha dessa portar tillgängliga och arbeta för att tillämpa lämpliga korrigeringsfiler eller begränsningar för att skydda ditt nätverk så mycket som möjligt.
