Введение в сканирование портов в сетевой безопасности

Что такое сканирование портов? Это похоже на то, как вор обходит ваш район и проверяет каждую дверь и окно в каждом доме, чтобы увидеть, какие из них открыты, а какие заперты.

TCP (протокол управления передачей) и UDP (протокол дейтаграмм пользователя) — это два протокола, которые составляют набор протоколов TCP / IP, который используется повсеместно для связи в Интернете. У каждого из них есть порты с 0 по 65535 65,000, так что, по сути, необходимо запереть более XNUMX XNUMX дверей.

Как работает сканирование портов

Программное обеспечение для сканирования портов в своем самом базовом состоянии отправляет запрос на подключение к целевому компьютеру на каждом порту последовательно и отмечает, какие порты ответили или кажутся открытыми для более глубокого исследования.

Если сканирование портов является вредоносным, злоумышленник обычно предпочитает оставаться незамеченным. Вы можете настроить приложения сетевой безопасности так, чтобы они предупреждали администраторов, если они обнаруживают запросы на соединение через широкий диапазон портов от одного хоста.

Чтобы обойти это, злоумышленник может сканировать порт в стробирующем или скрытом режиме. Стробирование ограничивает порты меньшим целевым набором, а не сплошным сканированием всех 65536 портов. Скрытое сканирование использует такие методы, как замедление сканирования. Сканируя порты в течение длительного периода, вы уменьшаете вероятность того, что цель вызовет предупреждение.

Устанавливая разные флаги TCP или отправляя разные типы TCP-пакетов, сканирование портов может давать разные результаты или по-разному определять открытые порты. Сканирование SYN сообщит сканеру портов, какие порты прослушивают, а какие не зависят от типа сгенерированного ответа. Сканирование FIN создаст ответ от закрытых портов, но открытые порты и прослушивание не будут r, поэтому сканер портов сможет определить, какие порты открыты, а какие нет.

Существует несколько различных методов выполнения фактического сканирования портов, а также уловки, позволяющие скрыть источник сканирования порта.

Как отслеживать сканирование портов

Есть возможность контролировать вашу сеть на предмет сканирования портов. Уловка, как и в большинстве случаев в области информационной безопасности, состоит в том, чтобы найти правильный баланс между производительностью сети и ее безопасностью.

Вы можете отслеживать сканирование SYN, регистрируя любую попытку отправить пакет SYN на порт, который не открыт или не прослушивает. Однако вместо того, чтобы получать предупреждение каждый раз, когда происходит отдельная попытка, выберите пороговые значения для срабатывания предупреждения. Например, вы можете сказать, что предупреждение должно срабатывать, если за данную минуту было выполнено более 10 попыток передачи пакетов SYN на не прослушивающие порты.

Вы можете разработать фильтры и ловушки для обнаружения различных методов сканирования портов, отслеживания всплеска пакетов FIN или просто необычного количества попыток подключения к диапазону портов или IP-адресов из одного источника IP.

Чтобы обеспечить защиту и безопасность вашей сети, вы можете захотеть выполнить собственное сканирование портов. Главное предостережение здесь — убедиться, что у вас есть одобрение всех властей, прежде чем приступить к этому проекту, чтобы вы не оказались на неправильной стороне закона.

Чтобы получить наиболее точные результаты, выполните сканирование портов из удаленного места, используя стороннее оборудование и другого провайдера. Используя такое программное обеспечение, как Nmap, вы можете просканировать диапазон IP-адресов и портов и выяснить, что бы увидел злоумышленник, если бы они просканировали вашу сеть. NMap, в частности, позволяет вам контролировать практически все аспекты сканирования и выполнять различные типы сканирования портов в соответствии с вашими потребностями.

Как только вы узнаете, какие порты открываются при сканировании вашей сети, вы можете приступить к определению, должны ли эти порты быть доступны извне вашей сети. Если они не требуются, вы должны закрыть или заблокировать их. Если они необходимы, вы можете начать исследовать, какие виды уязвимостей и эксплойтов открыты для вашей сети, открыв доступ к этим портам и работая над применением соответствующих исправлений или смягчающих мер для максимальной защиты вашей сети.