Šta je skeniranje portova? Slično je lopovu koji prolazi kroz vaš susjedstvo i provjerava svaka vrata i prozor u svakoj kući da vidi koji su otvoreni i koji su zaključani.
TCP ( Protokol kontrole prenosa ) i UDP (User Datagram Protocol) su dva od protokola koji čine TCP / IP protokol koji se koristi univerzalno za komunikaciju na Internetu. Svaki od njih ima dostupne portove od 0 do 65535, tako da u suštini postoji više od 65.000 vrata za zaključavanje.
Prvi 1024 TCP portovi se zovu dobro poznati portovi i povezani su sa standardnim uslugama kao što su FTP, HTTP, SMTP ili DNS . Neke od adresa preko 1023 takođe imaju najčešće povezane usluge, ali većina ovih portova nije povezana sa bilo kojom uslugom i dostupna je za program ili aplikaciju za komuniciranje.
Kako radi skeniranje portova
Softver za skeniranje porta, u svom najosnovnijem stanju, jednostavno šalje zahtev da se konektivno poveže sa ciljnim računarom na svakom portu i zapamti koji su portovi odgovorili ili izgledali otvoreni za detaljnije ispitivanje.
Ako se skeniranje portova obavlja sa zlonamjernim namerama, uljezi bi uglavnom više voleli da se ne vide. Aplikacije za mrežnu sigurnost mogu se konfigurisati da upozoravaju administratore ako otkriju zahteve za povezivanje preko širokog spektra portova od jednog domaćina. Da bi se ovako okončalo, uljez može izvršiti skeniranje portova u strobe ili stealth modu. Strobing ograničava portove na manje ciljane postavke, a ne na celu skeniranje svih 65536 portova. Skeniranje Stealth koristi tehnike kao što su usporavanje skeniranja. Skeniranjem portova tokom mnogo dužeg vremenskog perioda smanjujete mogućnost da će meta pokrenuti upozorenje.
Postavljanjem različitih TCP zastavica ili slanjem različitih vrsta TCP paketa, skeniranje portova može generisati različite rezultate ili locirati otvorene portove na različite načine. SYN skeniranje će reći skeneru porta koji portovi slušaju i koji ne zavise od vrste generisanog odgovora. FIN skeniranje će generisati odgovor iz zatvorenih portova - ali portovi koji su otvoreni i slušani neće poslati odgovor, tako da skener porta može da odredi koji su portovi otvoreni i koji nisu.
Postoji niz različitih metoda za izvođenje stvarnih skeniranja portova, kao i trikova za sakrivanje istinskog izvora skeniranja portova. Više o nekima od njih možete pročitati posjećujući ove web stranice: objašnjeno je skeniranje porta ili sondiranje mreže.
Kako nadgledati skeniranje portova
Moguće je pratiti vašu mrežu za skeniranje portova. Trik, kao i kod većine stvari u informatičkoj sigurnosti , je pronalaženje pravog balansa između performansi mreže i sigurnosti mreže. Možete pratiti SYN skenere tako što ćete prijaviti svaki pokušaj slanja SYN paketa na port koji nije otvoren ili sluša. Međutim, umesto da budete upozoreni svaki put kada dođe do jednog pokušaja - i eventualno se probudi usred noći zbog inače nevinih grešaka - trebalo bi da odlučite o pragovima da pokrenete upozorenje. Na primjer, možete reći da ako u posljednjih nekoliko minuta ima više od 10 SYN pokušaja da ne slušaju portove, trebali bi se aktivirati upozorenje. Možete dizajnirati filtere i zamke za otkrivanje različitih metoda skeniranja portova - posmatrajući konačan broj paketa FIN ili samo anomalozni broj pokušaja povezivanja različitih portova i / ili IP adresa iz jednog IP-izvora.
Da biste osigurali da je vaša mreža zaštićena i sigurna, možda ćete želeti da izvršite sopstvene skeniranje portova. GLAVNA opomena ovde je da se osigurate da imate saglasnost za sva ovlašćenja koja će biti pre početka ovog projekta, kako biste se našli na pogrešnoj strani zakona. Da biste dobili precizne rezultate, možda bi bilo najbolje izvršiti skeniranje portova sa udaljenih lokacija koristeći ne-kompanijske opreme i drugog ISP-a . Korišćenjem softvera kao što je NMap možete skenirati niz IP adresa i portova i saznati šta bi napadač vidio da li bi trebalo da skeniraju svoju mrežu. NMap, naročito, omogućava vam da kontrolišete skoro svaki aspekt skeniranja i obavljate različite vrste skeniranja portova kako biste odgovarali vašim potrebama.
Jednom kada saznate koji luci odgovore kao otvoreni portom skeniraju svoju vlastitu mrežu, možete početi da radite na određivanju da li je zaista neophodno da ti portovi budu dostupni izvan svoje mreže. Ako nisu neophodni, trebali bi ih ugasiti ili blokirati. Ako su neophodne, možete početi da istražujete koje vrste ranjivosti i eksploatacije vaše mreže su otvorene tako što su ovi portovi dostupni i rade na primjeni odgovarajućih zakrpa ili ublažavanja kako bi zaštitili svoju mrežu što je više moguće.