Portscanning er en teknik, der bruges i computernetværk til at opdage åbne porte på en målenhed.
Det er som at banke på dørene til et hus for at se, hvilke der er åbne og hvilke der er lukkede.
Porte er de virtuelle endepunkter, der tillader forskellige typer netværkstjenester og applikationer at kommunikere over et netværk.
Det er en måde for nogen som en sikkerhedsekspert at kontrollere, hvilke “døre” (eller porte) på et netværk, der er tilgængelige.
Hver computer har en masse porte, som porte, og hver enkelt er ansvarlig for forskellige typer kommunikation.
Nogle porte er åbne og klar til at tale med andre – mens nogle er lukkede og vil ikke reagere.
Når nogen laver en portscanning, sender de små beskeder til disse porte for at se, om de får et svar.
Hvis de gør det, betyder det, at porten er åben, og der kan være en måde at kommunikere med computeren eller netværket gennem den port.
Dette kan bruges til både legitime formål (som at tjekke om dit eget netværk er sikkert) og potentielt ondsindede formål (som at forsøge at finde svage punkter for at bryde ind i et system).
Indholdsfortegnelse
Vigtigheden af portscanning
Portscanning spiller en vigtig rolle i computernetværk af flere årsager. Nogle af dem er:
Netværksopdagelse
Portscanning er et vigtigt værktøj for netværksadministratorer til at opdage enheder på deres netværk og de tjenester, de kører.
Det hjælper med at opretholde en nøjagtig enhedsbeholdning og deres konfigurationer, hvilket er vigtigt for netværksstyring.
Netværksfejlfinding
Det kan hjælpe med at lokalisere fejlen, når der opstår netværksproblemer, såsom forbindelsesproblemer. Administratorer kan identificere forkert konfigurerede tjenester eller firewalls, der kan blokere trafik, ved at kontrollere status for specifikke porte.
Sikkerhedsvurdering
En af de primære anvendelser af portscanning er i netværkssikkerhedsvurderinger. Det kan bruges til at identificere potentielle sårbarheder i netværksenheder.
For eksempel – En åben port, der kører en forældet tjeneste, kan være et indgangspunkt for angribere.
Firewall-konfiguration
Det bruges til at teste og validere firewall-konfigurationer. Netværksadministratorer kan sikre sig, at firewalls filtrerer trafik korrekt og beskytter netværket ved at scanne fra både internt og eksternt perspektiv.
Intrusion Detection
IDS- og IPS-løsninger bruger ofte portscanningsteknikker til at identificere ondsindet netværksaktivitet. Hvis en IDS registrerer et usædvanligt antal forbindelsesforsøg på bestemte porte, kan det udløse en advarsel.
Netværkskortlægning
Hjælper også med at skabe netværkskort, som er afgørende for at forstå netværkstopologien.
Serviceovervågning
Portscanning bruges også til overvågningstjenester for at sikre, at de kører korrekt. Automatiserede scanninger kan regelmæssigt kontrollere status for kritiske porte og udløse advarsler, hvis der opdages problemer.
Penetrationstest
Etiske hackere bruger generelt portscanning som en del af penetrationstest til at vurdere sikkerheden i et netværk. Det hjælper dem med at finde potentielle svagheder, som ondsindede angribere kan udnytte.
Hvordan fungerer portscanning?
Her er en trin-for-trin forklaring af, hvordan denne portscanning fungerer
#1. Valg af målet
Det første trin er at vælge den målenhed eller IP-adresse, du vil scanne. Dette kan være en enkelt enhed eller et helt netværk.
#2. Valg af scanningsværktøj
Portscanning udføres generelt ved hjælp af specialiserede værktøjer kendt som portscannere. Brugeren kan konfigurere scanningsprocessen med forskellige scanningsparametre, hvis det er nødvendigt.
#3. Sender sondepakker
Portscanneren starter med at sende en række probepakker til målet. Hver probepakke er rettet mod en specifik port på målenheden.
Disse pakker bruges til at kontrollere status for målportene og er designet til at fremstå som faktisk netværkstrafik.
#4. Analyse af svar
Målenheden behandler de indkommende probepakker og reagerer i henhold til tilstanden for den port, der undersøges. Der er fire almindelige svar.
Åben: Målenheden reagerer positivt på probepakken, hvis porten er åben, og en tjeneste aktivt lytter til den. Dette indikerer, at porten er tilgængelig.
Lukket: Hvis du får et svar “porten er lukket”, betyder det, at ingen tjeneste i øjeblikket er aktiv på målmaskinen.
Filtreret: Sonden modtager ikke et svar, hvis porten er filtreret. Dette kan skyldes en firewall eller andre sikkerhedsforanstaltninger, der blokerer sonden.
Ufiltreret: I nogle tilfælde modtager sonden muligvis ikke et svar, der gør det uklart, om porten er åben eller lukket.
#5. Optagelse af resultater
Portscanneren registrerer de svar, der modtages fra målenheden for hver sonderet port. Den holder styr på, hvilke porte der er åbne, lukkede og filtrerede.
#6. Generering af en rapport
Efter at have scannet hver af de udpegede porte, kompilerer værktøjet resultaterne til en rapport. Det giver fuldstændig information om de åbne porte og deres tilsvarende tjenester, som kan bruges til yderligere analyse.
#7. Fortolkning af resultatet
Det sidste trin er at analysere resultaterne af portscanningen for at vurdere målenhedens sikkerhedsposition. Dette kan identificere potentielle sårbarheder og fejlkonfigurationer, der kræver opmærksomhed.
Typer af portscanning
Her er nogle almindelige typer portscanningsteknikker.
#1. TCP Connect Scan
Dette er den mest grundlæggende form for portscanning. Den forsøger at etablere en fuld TCP-forbindelse med hver port for at afgøre, om den er åben eller lukket.
Porten betragtes som åben, hvis en forbindelse er oprettet. Denne scanning er relativt støjende og nem at opdage.
#2. TCP SYN-scanning (halv-åben scanning)
Scanneren sender en TCP SYN-pakke til målporten i denne metode. En SYN-ACK-meddelelse returneres, hvis porten er åben.
Scanneren sender en RST-meddelelse (nulstil) for at afbryde forbindelsen i stedet for at fuldføre trevejs-håndtrykket.
Sammenlignet med en fuld forbindelsesscanning er denne tilgang mere snigende.
#3. TCP FIN Scan
En TCP FIN-pakke sendes til målporten af scanneren.
Den svarer med en RST-pakke, hvis porten er lukket. FIN-pakken ignoreres normalt, hvis porten er åben. Denne scanning kan være effektiv i nogle tilfælde, men virker muligvis ikke mod alle systemer.
#4. TCP XMAS Tree Scan
Den leverer en TCP-pakke med FIN-, URG- og PSH-flag indstillet ligesom FIN-scanningen.
Den skal svare med en RST-pakke, hvis porten er lukket. Pakken ignoreres, hvis porten er åben.
#5. TCP Nul Scan
Scanneren sender en TCP-pakke uden angivet flag under en null-scanning.
Åbne porte ignorerer de data, der sendes, og lukkede porte reagerer ofte med et RST-svar.
I lighed med XMAS Tree-scanningen er denne tilgang snigende, men ikke altid vellykket.
#6. UDP-scanning
Scanning af UDP-porte er vanskeligere, fordi UDP er uden forbindelse.
Scanneren sender en UDP-pakke til målporten og venter på et svar.
Den svarer muligvis med en ICMP Port Unreachable-meddelelse, hvis porten er lukket. Et svar på ansøgningsniveau er muligt, hvis det er åbent.
UDP-scanninger kan være langsommere på grund af manglen på en forbindelsesorienteret protokol.
#7. ACK-scanning
En ACK-pakke (bekræftelse) sendes til målporten under denne scanning. Svaret afhænger af, om porten er filtreret eller ufiltreret.
Den reagerer muligvis med en RST-pakke eller slet ingenting, hvis den er filtreret. Hvis den er ufiltreret, kan den ignorere pakken. Denne scanning er praktisk til at identificere stateful firewalls.
#8. Inaktiv scanning (zombiescanning)
Denne scanning er en mere avanceret metode, der bruger en “zombie”-vært – en uvidende mellemmand til at udføre scanningen.
Scanneren kan finde ud af målportens status ved omhyggeligt at undersøge IPID (Identification field) sekvensnumrene i svarene fra zombieværten.
Inaktiv scanning er meget snigende, men kompleks at udføre.
Billedkilde – bamsoftware
Vigtig bemærkning: Uautoriseret portscanning kan betragtes som en indtrængen. Sørg altid for, at du har de nødvendige tilladelser og juridisk godkendelse, før du udfører portscanninger.
Bedste portscannere
Portscannerværktøjer automatiserer og forenkler mange manuelle opgaver relateret til netværksrekognoscering.
#1. Nmap (Netværksmapper)
Et af de mest kraftfulde open source-netværksscanningsværktøjer på markedet lige nu er Nmap.
Den leveres med en scripting-motor, der giver brugerne mulighed for at skrive og køre brugerdefinerede scripts for at udføre forskellige opgaver under scanningsprocessen.
Disse scripts kan bruges med eksterne databaser til sårbarhedsdetektion, informationsindsamling og meget mere.
Nmap kan også levere data om typen af firewall/pakkefiltreringsregler, der er i brug på et netværk ved at analysere, hvordan pakker filtreres eller droppes.
Her er en detaljeret artikel om, hvordan du bruger Nmap til sårbarhedsscanninger. Besøg gerne denne side.
#2. TCP Port Scanner
EN TCP Port Scanner er et gratis og brugervenligt netværksværktøj designet til at analysere status for TCP/IP-porte på en målenhed.
En af de fremragende funktioner ved en TCP Port Scanner er dens hastighed. Den er i stand til at scanne netværk med en hastighed på op til 10.000 porte/sekund.
Den bruger hovedsageligt SYN-scanningsmetoden, der sender en TCP SYN-pakke til målporten og analyserer svaret.
Brugere kan også gemme resultaterne af deres scanninger i en tekstfil.
#3. Netcat
Netcat er et kraftfuldt netværksværktøj, der bruges til at læse og skrive data på tværs af netværksforbindelser ved hjælp af TCP/IP-protokollen og bruges almindeligvis til netværksfejlfinding.
Det kan etablere både udgående og indgående netværksforbindelser ved hjælp af TCP- eller UDP-protokoller.
Det understøtter også tunneling, som giver dig mulighed for at oprette specialiserede forbindelser, såsom konvertering af UDP til TCP, og giver fleksibilitet i konfiguration af netværksparametre som grænseflader og lytteporte.
Netcat tilbyder avancerede brugsmuligheder som bufferet sendetilstand, der sender data med specificerede intervaller, og hexdump, som kan vise transmitterede og modtagne data i hexadecimalt format.
Den inkluderer også en valgfri RFC854 telnet-kodeparser og responder, som kan være nyttig til at emulere telnet-sessioner.
#4. Avanceret portscanner
Avanceret portscanner er et andet kraftfuldt netværksværktøj, der hurtigt kan tjekke, hvilke enheder der er tilsluttet et netværk, og hvilke af dem der har åbne porte.
Det kan nemt finde ud af, hvilken slags programmer eller software der kører på disse åbne porte og hjælper også med let at få adgang til ressourcerne bag dem, hvis det finder nogen porte åbne.
For eksempel kan det hjælpe dig med at åbne websteder (HTTP/HTTPS), downloade filer (FTP) eller få adgang til delte mapper på andre computere.
Det lader dig endda styre andre computere på afstand (fjernstyring).
Du kan tænke på det som at kunne betjene en computer et andet sted, næsten som om du sad foran den. Dette kan være praktisk til opgaver som fejlfinding eller administration af flere computere.
Hvordan bruger cyberangribere portscanning?
Angribere bruger havnescanning som en rekognosceringsteknik til at indsamle information om potentielle mål og sårbarheder. Her er hvordan de bruger det.
Identifikation af sårbare tjenester
Angribere scanner en række IP-adresser eller specifikke mål for at finde åbne porte og tjenester.
De kan målrette mod velkendte porte forbundet med almindelige tjenester (f.eks. port 80 for HTTP) for at identificere potentielle sårbarheder i webservere eller andre tjenester.
Kortlægning af netværket
Portscanning hjælper angribere med at kortlægge netværkets layout, identificere enheder og deres roller. Disse oplysninger hjælper med at planlægge yderligere angreb.
Fingeraftryk
Angribere analyserer de svar, de modtager fra åbne porte, for at identificere den specifikke software og version, der kører på målet. Dette hjælper dem med at designe angrebsvektorer til sårbarhederne i den pågældende software.
Firewall unddragelse
Angribere kan udføre portscanninger for at finde åbne porte, der omgår firewallregler, hvilket potentielt giver dem mulighed for at få uautoriseret adgang til et netværk/enhed.
Forsvar mod havnescanning
Overvej følgende foranstaltninger for at beskytte mod portscanning og beskytte dit netværk.
Firewalls
Implementer robuste firewallregler for at begrænse indgående og udgående trafik. Åbn kun nødvendige porte for væsentlige tjenester og gennemgå og opdater firewall-konfigurationer regelmæssigt.
IDS og IPS system
Implementer løsninger til registrering og forebyggelse af indtrængen for at overvåge netværkstrafikken for mistænkelige aktiviteter, herunder portscanningsforsøg, og foretag manuelle handlinger for at blokere eller advare om sådanne aktiviteter.
Havnesikkerhed
Scan jævnligt dit eget netværk for åbne porte og tjenester. Luk alle ubrugte porte for at reducere angrebsoverfladen.
Netværksovervågning
Overvåg konstant netværkstrafikken for usædvanlige eller gentagne forbindelsesforsøg, der kunne indikere et portscanningsangreb.
Satsbegrænsende
Implementer hastighedsbegrænsende regler i firewalls/routere for at begrænse antallet af forbindelsesforsøg fra en enkelt IP-adresse, hvilket gør det sværere for angribere at udføre omfattende scanninger.
Honningpotter
Implementer honeypots eller lokkesystemer for at aflede angriberens opmærksomhed og indsamle oplysninger om deres taktik uden at risikere dit egentlige netværk.
Regelmæssige opdateringer
Hold al software opdateret med sikkerhedsrettelser for at minimere sandsynligheden for sårbarheder, som angribere kan udnytte.
Portscanning vs. netværksscanning
Her er en klar sammenligning mellem portscanning og netværksscanning:
Port scanning
Fokus: Identifikation af åbne porte og tjenester på en specifik enhed eller IP-adresse.
Mål: At finde indgangspunkter for kommunikation eller potentielle sårbarheder på et enkelt mål.
Metode: Sender datapakker til individuelle porte for at bestemme deres status (åben, lukket, filtreret).
Omfang: Begrænset til en enkelt enhed eller IP-adresse.
Use Cases: Netværkssikkerhed, fejlfinding, serviceopdagelse og penetrationstest.
Netværksscanning
Fokus: Kortlægning og opdagelse af enheder, undernet og netværkstopologi på tværs af et helt netværk.
Mål: At oprette en opgørelse over netværksaktiver, herunder enheder og deres egenskaber.
Metode: Scan flere IP-adresser og enheder for at identificere deres tilstedeværelse/attributter.
Omfang: Dækker et helt netværk, inklusive flere enheder, undernet og netværkssegmenter.
Use Cases: Netværksadministration, sikkerhedsvurdering, lagerstyring og sårbarhedsvurdering.
Portscanning handler om at identificere åbne porte og tjenester på en specifik enhed, mens netværksscanning involverer opdagelse og kortlægning af netværkslayouts på tværs af en bredere netværksinfrastruktur. Begge teknikker tjener forskellige formål i netværksadministration.
Konklusion✍️
Portscanning er et værdifuldt aktiv til at opretholde sundheden og sikkerheden på computernetværk.
Jeg håber, at du fandt denne artikel nyttig til at lære om portscanning og vigtigheden af det.
Du kan også være interesseret i at lære om den bedste netværksadgangskontrolsoftware til at udføre sikkerhedsvurderingen.
