Vad är portskanning? Det liknar en tjuv som går genom ditt grannskap och kontrollerar varje dörr och fönster i varje hus för att se vilka som är öppna och vilka som är låsta.
TCP (Transmission Control Protocol) och UDP (User Datagram Protocol) är två av de protokoll som utgör TCP / IP-protokollsviten, som används allmänt för att kommunicera på Internet. Var och en av dessa har portar 0 till 65535 tillgängliga, så det finns i princip mer än 65,000 XNUMX dörrar att låsa.
Hur Port Scanning fungerar
Portavläsningsprogram, i sitt mest grundläggande tillstånd, skickar ut en begäran om att ansluta till måldatorn på varje port sekventiellt och noterar vilka portar som svarade eller verkade öppna för mer djupgående sondering.
Om portavsökningen är skadlig föredrar inkräktaren i allmänhet att inte upptäckas. Du kan konfigurera nätverkssäkerhetsapplikationer för att varna administratörer om de upptäcker anslutningsförfrågningar i ett brett spektrum av portar från en enda värd.
För att komma runt detta kan inkräktaren göra portavsökningen i strobe- eller stealth-läge. Strobing begränsar portarna till en mindre måluppsättning snarare än filt skannar alla 65536 portar. Stealth-skanning använder tekniker som att sakta ner skanningen. Genom att skanna portarna under en längre tid minskar du chansen att målet kommer att utlösa en varning.
Genom att ställa in olika TCP-flaggor eller skicka olika typer av TCP-paket kan portavsökningen generera olika resultat eller hitta öppna portar på olika sätt. En SYN-skanning berättar för portskannern vilka portar som lyssnar och vilka som inte beror på vilken typ av svar som genereras. En FIN-skanning skapar ett svar från stängda portar, men öppna portar och lyssning kommer inte att r, så portskannern kommer att kunna avgöra vilka portar som är öppna och vilka som inte är.
Det finns flera olika metoder för att utföra de faktiska portavsökningarna, samt knep för att dölja källan till en portavsökning.
Hur man övervakar för portavsökningar
Det är möjligt att övervaka ditt nätverk för portskanningar. Tricket, som med de flesta saker inom informationssäkerhet, är att hitta rätt balans mellan nätverksprestanda och nätverkssäkerhet.
Du kan övervaka SYN-skanningar genom att logga varje försök att skicka ett SYN-paket till en port som inte är öppen eller lyssnar. I stället för att bli larmad varje gång ett enda försök inträffar, besluta om trösklar för att utlösa varningen. Du kan till exempel säga att en varning ska utlösas om det finns mer än 10 SYN-paketförsök till icke-lyssnande portar under en viss minut.
Du kan designa filter och fällor för att upptäcka en mängd olika portavsökningsmetoder, titta efter en spik i FIN-paket eller bara ett ovanligt antal anslutningsförsök till ett antal portar eller IP-adresser från en enda IP-källa.
För att säkerställa att ditt nätverk är skyddat och säkert kanske du vill utföra dina egna portavsökningar. En viktig varning här är att se till att du har godkännande av alla befogenheter innan du påbörjar detta projekt så att du inte befinner dig på fel sida av lagen.
För att få de mest exakta resultaten, utför portskanningen från en fjärrplats med utrustning från andra företag och en annan ISP. Med hjälp av programvara som Nmap kan du skanna en rad IP-adresser och portar och ta reda på vad en angripare skulle se om de skulle skanna ditt nätverk. NMap, i synnerhet, låter dig styra nästan alla aspekter av genomsökningen och utföra olika typer av portavsökningar för att passa dina behov.
När du har fått reda på vilka portar som reagerar som öppna genom att skanna ditt nätverk kan du börja arbeta med att avgöra om dessa portar måste vara tillgängliga utanför ditt nätverk. Om de inte behövs bör du stänga av dem eller blockera dem. Om det behövs kan du börja undersöka vilka sårbarheter och utnyttjar ditt nätverk är öppet för genom att ha dessa portar tillgängliga och arbeta för att tillämpa lämpliga korrigeringar eller begränsningar för att skydda ditt nätverk så mycket som möjligt.