Сканування портів — це техніка, яка використовується в комп’ютерних мережах для виявлення відкритих портів на цільовому пристрої.
Це як стукати в двері будинку, щоб побачити, які відкриті, а які закриті.
Порти — це віртуальні кінцеві точки, які дозволяють різним типам мережевих служб і програм обмінюватися даними через мережу.
Це спосіб для експерта з безпеки перевірити, які «двері» (або порти) у мережі доступні.
Кожен комп’ютер має купу портів, подібних до шлюзів, і кожен з них відповідає за різні типи зв’язку.
Деякі порти відкриті й готові спілкуватися з іншими, тоді як деякі закриті й не відповідають.
Коли хтось виконує сканування портів, вони надсилають на ці порти невеликі повідомлення, щоб побачити, чи отримають вони відповідь.
Якщо вони є, це означає, що порт відкрито, і, можливо, є спосіб зв’язатися з комп’ютером або мережею через цей порт.
Це можна використовувати як для законних цілей (наприклад, перевірка безпеки вашої власної мережі), так і для потенційно зловмисних (наприклад, спроба знайти слабкі місця для злому в систему).
Важливість сканування портів
Сканування портів відіграє важливу роль у комп’ютерній мережі з кількох причин. Деякі з них:
Виявлення мережі
Сканування портів є важливим інструментом для адміністраторів мережі для виявлення пристроїв у їхній мережі та служб, які вони запускають.
Це допомагає підтримувати точну інвентаризацію пристроїв та їх конфігурації, що важливо для керування мережею.
Усунення несправностей мережі
Це може допомогти точно визначити помилку, коли виникають проблеми з мережею, наприклад проблеми з підключенням. Адміністратори можуть виявити неправильно налаштовані служби або брандмауери, які можуть блокувати трафік, перевіряючи стан певних портів.
Оцінка безпеки
Одним із основних застосувань сканування портів є оцінювання безпеки мережі. Його можна використовувати для виявлення потенційних уразливостей у мережевих пристроях.
Наприклад, відкритий порт із застарілою службою може бути точкою входу для зловмисників.
Конфігурація брандмауера
Він використовується для тестування та перевірки конфігурацій брандмауера. Мережеві адміністратори можуть переконатися, що брандмауери належним чином фільтрують трафік і захищають мережу, скануючи як з внутрішньої, так і з зовнішньої точки зору.
Виявлення вторгнень
Рішення IDS та IPS часто використовують методи сканування портів для виявлення зловмисної активності в мережі. Якщо IDS виявляє незвичайну кількість спроб підключення на певних портах, це може викликати сповіщення.
Відображення мережі
Також допомагає у створенні мережевих карт, які необхідні для розуміння топології мережі.
Моніторинг служби
Сканування портів також використовується для моніторингу служб, щоб переконатися, що вони працюють правильно. Автоматичне сканування може регулярно перевіряти стан критичних портів і запускати сповіщення, якщо виявлено будь-які проблеми.
Тестування на проникнення
Етичні хакери зазвичай використовують сканування портів як частину тестування на проникнення для оцінки безпеки мережі. Це допомагає їм знайти потенційні слабкі місця, якими можуть скористатися зловмисники.
Як працює сканування портів?
Ось покрокове пояснення того, як працює це сканування портів
#1. Вибір цілі
Першим кроком є вибір цільового пристрою або IP-адреси, яку потрібно просканувати. Це може бути один пристрій або ціла мережа.
#2. Вибір засобу сканування
Сканування портів зазвичай виконується за допомогою спеціальних інструментів, відомих як сканери портів. За потреби користувач може налаштувати процес сканування різними параметрами сканування.
#3. Надсилання пробних пакетів
Сканер портів починає роботу з надсилання серії пробних пакетів до цілі. Кожен тестовий пакет спрямовується на певний порт цільового пристрою.
Ці пакети використовуються для перевірки стану цільових портів і створені так, щоб виглядати як фактичний мережевий трафік.
#4. Аналіз відповідей
Цільовий пристрій обробляє вхідні пробні пакети та відповідає відповідно до стану досліджуваного порту. Є чотири поширені відповіді.
Відкритий: цільовий пристрій позитивно відповідає на тестовий пакет, якщо порт відкритий і служба активно прослуховує його. Це означає, що порт доступний.
Закрито: якщо ви отримуєте відповідь «порт закрито», це означає, що на цільовій машині наразі жодна служба не активна.
Відфільтрований: зонд не отримує відповіді, якщо порт відфільтровано. Це може бути через брандмауер або інші заходи безпеки, які блокують зонд.
Нефільтрований: у деяких випадках зонд може не отримати відповіді, через яку буде незрозуміло, відкритий чи закритий порт.
#5. Запис результатів
Сканер портів записує відповіді, отримані від цільового пристрою для кожного досліджуваного порту. Він відстежує, які порти відкриті, закриті та відфільтровані.
#6. Створення звіту
Після сканування кожного з призначених портів інструмент компілює результати у звіт. Він надає повну інформацію про відкриті порти та відповідні їм служби, які можна використовувати для подальшого аналізу.
#7. Інтерпретація результату
Останнім кроком є аналіз результатів сканування портів для оцінки стану безпеки цільового пристрою. Це може виявити потенційні вразливості та неправильні конфігурації, які потребують уваги.
Типи сканування портів
Ось кілька типових методів сканування портів.
#1. Сканування підключення TCP
Це найпростіша форма сканування портів. Він намагається встановити повне TCP-з’єднання з кожним портом, щоб визначити, відкритий він чи закритий.
Порт вважається відкритим, якщо підключення встановлено успішно. Це сканування є відносно шумним і його легко виявити.
#2. Сканування TCP SYN (напіввідкрите сканування)
У цьому методі сканер надсилає пакет TCP SYN на цільовий порт. Якщо порт відкритий, повертається повідомлення SYN-ACK.
Сканер надсилає повідомлення RST (скидання), щоб розірвати з’єднання, а не завершує тристороннє рукостискання.
Порівняно з повним скануванням підключення цей підхід є більш прихованим.
#3. Сканування TCP FIN
Сканер передає на цільовий порт пакет TCP FIN.
Він відповідає RST-пакетом, якщо порт закрито. FIN-пакет зазвичай ігнорується, якщо порт відкритий. Це сканування може бути ефективним у деяких випадках, але може не працювати проти всіх систем.
#4. TCP XMAS Tree Scan
Він доставляє TCP-пакет із встановленими прапорцями FIN, URG і PSH так само, як сканування FIN.
Він повинен відповісти RST-пакетом, якщо порт закрито. Пакет ігнорується, якщо порт відкритий.
#5. Нульове сканування TCP
Під час нульового сканування сканер надсилає TCP-пакет без указаних прапорів.
Відкриті порти ігнорують дані, що надсилаються, а закриті порти часто відповідають відповіддю RST.
Подібно до сканування XMAS Tree, цей підхід є прихованим, але не завжди успішним.
#6. Сканування UDP
Сканування UDP-портів складніше, оскільки UDP не використовує з’єднання.
Сканер надсилає UDP-пакет на цільовий порт і чекає на відповідь.
Він може відповісти повідомленням ICMP Port Unreachable, якщо порт закрито. Відповідь на рівні програми можлива, якщо вона відкрита.
Сканування UDP може бути повільнішим через відсутність протоколу, орієнтованого на підключення.
#7. Сканування ACK
Під час цього сканування на цільовий порт надсилається пакет ACK (підтвердження). Відповідь залежить від того, фільтрований чи нефільтрований порт.
Він може відреагувати на RST-пакет або взагалі нічого, якщо його відфільтрувати. Якщо не відфільтровано, пакет може проігноруватися. Це сканування стане в нагоді для виявлення брандмауерів із збереженням стану.
#8. Idle Scan (сканування зомбі)
Це сканування є більш просунутим методом, який використовує «зомбі» хост — невідомого посередника для проведення сканування.
Сканер може визначити стан цільового порту, уважно вивчивши порядкові номери IPID (ідентифікаційне поле) у відповідях хоста-зомбі.
Сканування в режимі очікування є дуже прихованим, але складним у виконанні.
Джерело зображення – bamsoftware
Важлива примітка. Несанкціоноване сканування портів можна вважати вторгненням. Завжди переконайтеся, що у вас є необхідні дозволи та юридичний дозвіл перед скануванням портів.
Найкращі сканери портів
Інструменти сканування портів автоматизують і спрощують багато ручних завдань, пов’язаних із розвідкою мережі.
#1. Nmap (мережевий картограф)
Одним із найпотужніших інструментів мережевого сканування з відкритим кодом на ринку зараз є Nmap.
Він постачається з механізмом створення сценаріїв, який дозволяє користувачам писати та запускати власні сценарії для виконання різноманітних завдань під час процесу сканування.
Ці сценарії можна використовувати із зовнішніми базами даних для виявлення вразливостей, збору інформації тощо.
Nmap також може надавати дані про тип брандмауера/правил фільтрації пакетів, які використовуються в мережі, аналізуючи, як пакети фільтруються або відкидаються.
Ось докладна стаття про те, як використовувати Nmap для сканування вразливостей. Не соромтеся відвідати цю сторінку.
#2. Сканер портів TCP
А Сканер портів TCP це безкоштовна та зручна мережева утиліта, призначена для аналізу стану портів TCP/IP на цільовому пристрої.
Однією з чудових особливостей TCP Port Scanner є його швидкість. Він здатний сканувати мережі зі швидкістю до 10 000 портів на секунду.
Він переважно використовує метод сканування SYN, який надсилає пакет TCP SYN на цільовий порт і аналізує відповідь.
Користувачі також можуть зберігати результати своїх сканувань у текстовий файл.
#3. Netcat
Netcat це потужний мережевий інструмент, який використовується для читання та запису даних через мережеві підключення за допомогою протоколу TCP/IP і зазвичай використовується для налагодження мережі.
Він може встановлювати як вихідні, так і вхідні мережеві з’єднання за допомогою протоколів TCP або UDP.
Він також підтримує тунелювання, яке дозволяє створювати спеціалізовані з’єднання, такі як перетворення UDP на TCP, і забезпечує гнучкість у налаштуванні мережевих параметрів, таких як інтерфейси та порти прослуховування.
Netcat пропонує розширені параметри використання, такі як буферизований режим надсилання, який надсилає дані через визначені інтервали, і шістнадцятковий дамп, який може відображати передані та отримані дані в шістнадцятковому форматі.
Він також включає додатковий синтаксичний аналізатор і відповідач кодів Telnet RFC854, який може бути корисним для емуляції сеансів Telnet.
#4. Розширений сканер портів
Розширений сканер портів це ще один потужний мережевий інструмент, який може швидко перевірити, які пристрої підключено до мережі та які з них мають відкриті порти.
Він може легко з’ясувати, які програми чи програмне забезпечення запущено на цих відкритих портах, а також допомагає легко отримати доступ до ресурсів за ними, якщо виявить, що будь-які порти відкриті.
Наприклад, це може допомогти вам відкривати веб-сайти (HTTP/HTTPS), завантажувати файли (FTP) або отримувати доступ до спільних папок на інших комп’ютерах.
Він навіть дозволяє керувати іншими комп’ютерами на відстані (дистанційне керування).
Ви можете думати про це як про можливість керувати комп’ютером в іншому місці, майже як якщо б ви сиділи перед ним. Це може бути зручно для таких завдань, як усунення несправностей або керування кількома комп’ютерами.
Як кібер-зловмисники використовують сканування портів?
Зловмисники використовують сканування портів як техніку розвідки для збору інформації про потенційні цілі та вразливі місця. Ось як вони цим користуються.
Виявлення вразливих служб
Зловмисники сканують діапазон IP-адрес або певні цілі, щоб знайти відкриті порти та служби.
Вони можуть націлюватися на добре відомі порти, пов’язані зі звичайними службами (наприклад, порт 80 для HTTP), щоб виявити потенційні вразливості у веб-серверах або інших службах.
Відображення мережі
Сканування портів допомагає зловмисникам відображати макет мережі, ідентифікуючи пристрої та їхні ролі. Ця інформація допомагає планувати подальші атаки.
Зняття відбитків пальців
Зловмисники аналізують відповіді, які вони отримують від відкритих портів, щоб визначити конкретне програмне забезпечення та версію, запущену на цілі. Це допомагає їм розробляти вектори атак для вразливостей у цьому програмному забезпеченні.
Ухилення від брандмауера
Зловмисники можуть виконувати сканування портів, щоб знайти відкриті порти, які обходять правила брандмауера, що потенційно дозволяє їм отримати неавторизований доступ до мережі/пристрою.
Захист від сканування портів
Розгляньте такі заходи, щоб захистити вашу мережу від сканування портів.
Брандмауери
Застосуйте надійні правила брандмауера, щоб обмежити вхідний і вихідний трафік. Відкривайте лише необхідні порти для основних служб і регулярно переглядайте та оновлюйте конфігурації брандмауера.
Система IDS і IPS
Розгорніть рішення для виявлення та запобігання вторгненням, щоб відстежувати мережевий трафік на предмет підозрілих дій, зокрема спроб сканування портів, і вживайте ручних заходів для блокування або сповіщення про такі дії.
Безпека портів
Регулярно скануйте власну мережу на наявність відкритих портів і служб. Закрийте будь-які невикористовувані порти, щоб зменшити поверхню атаки.
Моніторинг мережі
Постійно відстежуйте мережевий трафік на наявність незвичних або повторюваних спроб підключення, які можуть свідчити про атаку сканування портів.
Обмеження швидкості
Впроваджуйте правила обмеження швидкості в брандмауерах/маршрутизаторах, щоб обмежити кількість спроб підключення з однієї IP-адреси, що ускладнює зловмисникам виконання масштабних сканувань.
Медові горщики
Розгортайте приманки або системи-приманки, щоб відвернути увагу зловмисників і збирати інформацію про їхню тактику, не ризикуючи своєю фактичною мережею.
Регулярні оновлення
Підтримуйте все програмне забезпечення в актуальному стані за допомогою виправлень безпеки, щоб звести до мінімуму ймовірність вразливості, якою можуть скористатися зловмисники.
Сканування портів проти сканування мережі
Ось чітке порівняння сканування портів і сканування мережі:
Сканування портів
Фокус: визначення відкритих портів і служб на певному пристрої чи IP-адресі.
Мета: знайти точки входу для зв’язку або потенційні вразливості на одній цілі.
Метод: надсилає пакети даних на окремі порти, щоб визначити їхній статус (відкритий, закритий, відфільтрований).
Сфера застосування: обмежено одним пристроєм або IP-адресою.
Варіанти використання: безпека мережі, усунення несправностей, виявлення служб і тестування на проникнення.
Сканування мережі
Фокус: відображення та виявлення пристроїв, підмереж і топології мережі в усій мережі.
Мета: створити перелік мережевих активів, включаючи пристрої та їхні характеристики.
Метод: сканування кількох IP-адрес і пристроїв, щоб визначити їх присутність/атрибути.
Сфера: охоплює всю мережу, включаючи кілька пристроїв, підмереж і сегментів мережі.
Варіанти використання: керування мережею, оцінка безпеки, керування запасами та оцінка вразливості.
Сканування портів пов’язане з виявленням відкритих портів і служб на конкретному пристрої, тоді як сканування мережі передбачає виявлення та відображення макетів мережі в ширшій мережевій інфраструктурі. Обидва методи служать різним цілям в адмініструванні мережі.
Висновок✍️
Сканування портів є цінним активом для підтримки працездатності та безпеки комп’ютерних мереж.
Сподіваюся, ця стаття допоможе вам дізнатися про сканування портів і його важливість.
Вам також може бути цікаво дізнатися про найкраще програмне забезпечення для контролю доступу до мережі для проведення оцінки безпеки.