Ce este scanarea porturilor? Este similar cu un hoț care trece prin cartierul tău și verifică fiecare ușă și fereastră de pe fiecare casă pentru a vedea care sunt deschise și care sunt blocate.
TCP (Transmission Control Protocol) și UDP (User Datagram Protocol) sunt două dintre protocoalele care alcătuiesc suita de protocol TCP / IP, care este utilizată universal pentru a comunica pe internet. Fiecare dintre acestea are porturi de la 0 la 65535 disponibile, deci în esență există mai mult de 65,000 de uși de blocat.
Cum funcționează scanarea porturilor
Software-ul de scanare a porturilor, în starea sa cea mai de bază, trimite o cerere de conectare la computerul țintă de pe fiecare port în mod secvențial și notează ce porturi au răspuns sau păreau deschise pentru probe mai aprofundate.
Dacă scanarea portului este rău intenționată, intrusul ar prefera, în general, să nu fie detectat. Puteți configura aplicații de securitate a rețelei pentru a avertiza administratorii dacă detectează cereri de conexiune într-o gamă largă de porturi de la o singură gazdă.
Pentru a evita acest lucru, intrusul poate efectua scanarea portului în modul stroboscop sau stealth. Strobing-ul limitează porturile la un set de ținte mai mic, mai degrabă decât la scanarea generală a tuturor celor 65536 de porturi. Scanarea stealth utilizează tehnici precum încetinirea scanării. Scanând porturile pe o perioadă îndelungată, reduceți șansa ca ținta să declanșeze o alertă.
Prin setarea diferitelor stegulețe TCP sau trimiterea diferitelor tipuri de pachete TCP, scanarea porturilor poate genera rezultate diferite sau poate localiza porturile deschise în moduri diferite. O scanare SYN va spune scanerului de porturi ce porturi ascultă și care nu depind de tipul de răspuns generat. O scanare FIN va crea un răspuns din porturile închise, dar porturile deschise și ascultarea nu vor r, deci scanerul de porturi va putea determina ce porturi sunt deschise și care nu.
Există mai multe metode diferite pentru a efectua scanările de port reale, precum și trucuri pentru a ascunde sursa unei scanări de port.
Cum să monitorizați scanările de port
Este posibil să vă monitorizați rețeaua pentru scanări de porturi. Trucul, la fel ca în majoritatea lucrurilor în securitatea informațiilor, este să găsești echilibrul corect între performanța rețelei și siguranța rețelei.
Puteți monitoriza scanările SYN înregistrând orice încercare de a trimite un pachet SYN către un port care nu este deschis sau ascultat. Cu toate acestea, în loc să fiți alertat de fiecare dată când apare o singură încercare, decideți pragurile pentru a declanșa alerta. De exemplu, ați putea spune că o alertă ar trebui să se declanșeze dacă există mai mult de 10 încercări de pachete SYN către porturi care nu ascultă într-un minut dat.
Puteți proiecta filtre și capcane pentru a detecta o varietate de metode de scanare a porturilor, urmărind o creștere a pachetelor FIN sau doar un număr neobișnuit de încercări de conectare la o gamă de porturi sau adrese IP dintr-o singură sursă IP.
Pentru a vă asigura că rețeaua dvs. este protejată și sigură, vă recomandăm să efectuați propriile scanări de port. O avertisment major aici este să vă asigurați că aveți aprobarea tuturor puterilor existente înainte de a vă angaja în acest proiect, ca să nu vă regăsiți în partea greșită a legii.
Pentru a obține cele mai precise rezultate, efectuați scanarea portului dintr-o locație la distanță folosind echipamente care nu sunt de companie și un alt ISP. Folosind software cum ar fi Nmap, puteți scana o serie de adrese IP și porturi și puteți afla ce ar vedea un atacator dacă ar scana portul rețea. NMap, în special, vă permite să controlați aproape fiecare aspect al scanării și să efectuați diferite tipuri de scanări de porturi pentru a se potrivi nevoilor dumneavoastră.
Odată ce aflați ce porturi răspund ca fiind deschise prin scanarea portului rețelei dvs., puteți începe să stabiliți dacă aceste porturi trebuie să fie accesibile din afara rețelei. Dacă nu sunt necesare, ar trebui să le închideți sau să le blocați. Dacă sunt necesare, puteți începe să cercetați ce fel de vulnerabilități și exploatează rețeaua dvs., accesând aceste porturi și să lucrați pentru a aplica patch-urile adecvate sau pentru a vă proteja cât mai mult posibil rețeaua.