Skip to content

Introduktion till Port Scanning

30 de juli de 2021
laser light scanning abstract paper 665047690 59bbde4422fa3a0011c12d6b

Vad är portskanning? Det liknar en tjuv som går genom ditt grannskap och kontrollerar varje dörr och fönster i varje hus för att se vilka som är öppna och vilka som är låsta. TCP (Transmission Control Protocol) och UDP (User Datagram Protocol) är två av de protokoll som utgör TCP/IP -protokollpaketet, som används universellt för att kommunicera på internet. Var och en av dessa har portar 0 till 65535 tillgängliga, så i huvudsak finns det mer än 65 000 dörrar att låsa.

Hur portskanning fungerar

Portskanningsprogramvara, i sitt mest grundläggande tillstånd, skickar ut en begäran om att ansluta till måldatorn på varje port sekventiellt och noterar vilka portar som svarade eller verkade öppna för mer ingående undersökning. Om portgenomsökningen är skadlig skulle inkräktaren i allmänhet föredra att gå oupptäckt. Du kan konfigurera nätverkssäkerhetsprogram för att varna administratörer om de upptäcker anslutningsbegäranden över ett stort antal portar från en enda värd.

Varför misslyckas portskanningsvarningar

För att komma runt detta kan inkräktaren göra portsökning i strobe- eller smygläge. Strobing begränsar portarna till en mindre målsats snarare än filtskanning av alla 65536 portar. Stealth -skanning använder tekniker som att sakta ner skanningen. Genom att skanna portarna under en längre period minskar du risken att målet utlöser en varning. Genom att ställa in olika TCP -flaggor eller skicka olika typer av TCP -paket kan portskanningen generera olika resultat eller hitta öppna portar på olika sätt. En SYN -skanning berättar portskannern vilka portar som lyssnar och vilka som inte beror på vilken typ av svar som genereras. En FIN -skanning skapar ett svar från stängda portar, men öppna portar och lyssning kommer inte att r, så portskannern kommer att kunna avgöra vilka portar som är öppna och vilka som inte är det. Det finns flera olika metoder för att utföra själva portskanningarna, liksom tricks för att dölja källan till en portskanning.

Hur man övervakar portöversökningar

Det är möjligt att övervaka ditt nätverk för portskanningar. Tricket, som med det mesta inom informationssäkerhet, är att hitta rätt balans mellan nätverksprestanda och nätverkssäkerhet.

Logga SYN-paketförsök till portar som inte lyssnar

Du kan övervaka SYN -skanningar genom att logga alla försök att skicka ett SYN -paket till en port som inte är öppen eller lyssnar. Men snarare än att bli varnad varje gång ett enda försök inträffar, besluta om trösklar för att utlösa varningen. Till exempel kan du säga att en varning ska utlösas om det finns mer än 10 SYN-paketförsök till portar som inte lyssnar under en viss minut.

Konfigurera filter för att upptäcka portskanningsmetoder

Du kan designa filter och fällor för att upptäcka en mängd olika portskanningsmetoder, titta på en spik i FIN -paket eller bara ett ovanligt antal anslutningsförsök till en rad portar eller IP -adresser från en enda IP -källa.

Utför dina egna portskanningar

För att säkerställa att ditt nätverk är skyddat och säkert kan du göra egna portskanningar. En stor varning här är att se till att du har godkännande av alla befogenheter som finns innan du påbörjar detta projekt så att du inte befinner dig på fel sida av lagen. För att få de mest exakta resultaten, utför portskanningen från en avlägsen plats med icke-företagsutrustning och en annan ISP. Med hjälp av programvara som Nmap kan du skanna en rad IP -adresser och portar och ta reda på vad en angripare skulle se om de skulle portskanna ditt nätverk. NMap, i synnerhet, låter dig styra nästan alla aspekter av genomsökningen och utföra olika typer av portskanningar för att passa dina behov.

Blockera portar du inte behöver

När du har fått reda på vilka portar som svarar som öppna genom att portskanna ditt nätverk kan du börja arbeta med att avgöra om dessa portar måste vara tillgängliga från ditt nätverk. Om de inte krävs bör du stänga av dem eller blockera dem. Om de behövs kan du börja undersöka vilka typer av sårbarheter och utnyttjanden ditt nätverk är öppet för genom att ha dessa portar tillgängliga och arbeta med att tillämpa lämpliga patchar eller begränsningar för att skydda ditt nätverk så mycket som möjligt.