Hvad er portscanning? Det ligner en tyv, der går gennem dit kvarter og kontrollerer hver dør og vindue på hvert hus for at se, hvilke der er åbne, og hvilke er låst.
TCP (Transmission Control Protocol) og UDP (User Datagram Protocol) er to af de protokoller, der udgør TCP / IP-protokollen, som bruges universelt til at kommunikere på internettet. Hver af disse har porte 0 til 65535 til rådighed, så i det væsentlige er der mere end 65.000 døre til låsning.
De første 1024 TCP-porte kaldes de velkendte porte og er forbundet med standardtjenester som FTP, HTTP, SMTP eller DNS. Nogle af adresserne over 1023 har også almindeligt tilknyttede tjenester, men de fleste af disse porte er ikke forbundet med nogen tjeneste og er tilgængelige for et program eller en applikation, der skal bruges til at kommunikere på.
Sådan fungerer portscanning
Portscanningsoftware sender i sin mest grundlæggende tilstand simpelthen en anmodning om at oprette forbindelse til målcomputeren på hver port i rækkefølge og notere hvilke porte der reagerede eller synes åbne for mere dybtgående sonderinger.
Hvis portscanningen udføres med ondsindet hensigt, vil indtrengeren generelt foretrække at gå uopdaget. Netværkssikkerhedsapplikationer kan konfigureres til at advare administratorer, hvis de registrerer forbindelsesforespørgsler på tværs af en bred vifte af porte fra en enkelt vært. For at komme rundt om dette kan indtrederen gøre port scanningen i strobe eller stealth mode. Strobing begrænser portene til et mindre mål sæt i stedet for tæppe, der scanner alle 65536 porte. Stealth scanning bruger teknikker som at bremse scanningen. Ved at scanne havne over en meget længere periode reducerer du chancen for, at målet vil udløse en advarsel.
Ved at indstille forskellige TCP-flag eller sende forskellige typer TCP-pakker kan portscanning generere forskellige resultater eller finde åbne porte på forskellige måder. En SYN-scan vil fortælle portscanneren, hvilke porte der lytter, og som ikke afhænger af den type svar, der genereres. En FIN-scanning genererer et svar fra lukkede porte, men porte, der er åbne og lytter, vil ikke sende et svar, så portscanneren vil kunne bestemme hvilke porte der er åbne, og hvilke der ikke er.
Der er en række forskellige metoder til at udføre de faktiske portscanninger samt tricks til at skjule den sande kilde til en portscanning.
Sådan overvåger du portscanninger
Det er muligt at overvåge dit netværk til portscanninger. Tricket, som med de fleste ting i informationssikkerhed, er at finde den rette balance mellem netværksydelse og netværkssikkerhed. Du kan overvåge SYN-scanninger ved at logge på ethvert forsøg på at sende en SYN-pakke til en port, der ikke er åben eller lytter. Men i stedet for at blive advaret, hver gang et enkelt forsøg opstår - og muligvis vækkes midt om natten for en ellers uskyldig fejl - bør du bestemme tærskler for at udløse alarmen. For eksempel kan du sige, at hvis der er mere end 10 SYN-pakkeforsøg på ikke-lyttende porte i et givet minut, at en advarsel skal udløses. Du kan designe filtre og fælder til at registrere en række portscanningsmetoder - se efter en spids i FIN-pakker eller bare et uregelmæssigt antal tilslutningsforsøg på en række porte og / eller IP-adresser fra en enkelt IP-kilde.
For at sikre, at dit netværk er beskyttet og sikkert, kan du muligvis udføre dine egne portscanninger. EN MAJOR advarsel her er at sikre, at du har godkendt alle de beføjelser, der er før du går i gang med dette projekt, så du ikke finder dig selv på den forkerte side af loven. For at få nøjagtige resultater kan det være bedst at udføre portscanning fra en fjernplacering ved hjælp af ikke-firmaudstyr og en anden internetudbyder. Ved hjælp af software som Nmap kan du scanne en række IP-adresser og porte og finde ud af, hvad en hacker ville se, om de skulle port scanne dit netværk. NMap giver dig især mulighed for at kontrollere næsten alle aspekter af scanningen og udføre forskellige typer portscanninger, der passer til dine behov.
Når du først har fundet ud af, hvilke porte der reagerer som åbne ved port scanning dit eget netværk, kan du begynde at arbejde for at afgøre, om det faktisk er nødvendig for at disse havne skal være tilgængelige uden for dit netværk. Hvis de ikke er nødvendige, skal du lukke dem ned eller blokere dem. Hvis det er nødvendigt, kan du begynde at undersøge, hvilke slags sårbarheder og udbytter dit netværk er åbent for ved at få disse porte tilgængelige og arbejde for at anvende de relevante patches eller afbødning for at beskytte dit netværk så meget som muligt.
