Что такое порт?
Когда устройство подключается к другому устройству через сеть, оно указывает номер порта TCP или UDP от 0 до 65535. Однако некоторые порты используются чаще. TCP-порты с 0 по 1023 являются «хорошо известными портами», которые предоставляют системные службы. Например, порт 20 - передача файлов FTP, порт 22 - терминальные соединения Secure Shell (SSH), порт 80 - это стандартный HTTP-трафик HTTP, а порт 443 - зашифрованный HTTPS. Поэтому, когда вы подключаетесь к защищенному веб-сайту, ваш веб-браузер разговаривает с веб-сервером, который прослушивает порт 443 этого сервера.
Сервисы не всегда должны запускаться на этих конкретных портах. Например, вы можете запустить веб-сервер HTTPS на порту 32342 или сервер Secure Shell на порту 65001, если хотите. Это стандартные стандартные значения.
Что такое сканирование портов?
Сканирование портов - это процесс проверки всех портов на IP-адресе, чтобы узнать, открыты ли они или закрыты. Программное обеспечение сканирования портов проверит порт 0, порт 1, порт 2 и весь путь до порта 65535. Он делает это, просто отправив запрос на каждый порт и запросив ответ. В своей простейшей форме программное обеспечение сканирования портов запрашивает каждый порт по одному за раз. Удаленная система ответит и скажет, открыт или закрыт порт. Затем пользователь, выполняющий сканирование портов, узнает, какие порты открыты.
Любые сетевые брандмауэры на этом пути могут блокировать или иным образом отбрасывать трафик, поэтому сканирование портов также является способом нахождения портов, доступных или находящихся в сети, в этой удаленной системе.
Инструмент nmap - это общая сетевая утилита, используемая для сканирования портов, но есть много других инструментов сканирования портов.
Почему люди запускают сканирование портов?
Эти типы сканирования также могут помочь обнаружить службы, работающие на портах, отличных от стандартного. Итак, если вы используете SSH-сервер на порте 65001 вместо порта 22, сканирование портов выявит это, и злоумышленник может попытаться подключиться к вашему SSH-серверу на этом порту. Вы не можете просто скрыть сервер на порте, отличном от стандартного, для защиты вашей системы, хотя это делает сервер труднее найти.
Сканирование портов используется не только злоумышленниками. Сканирование портов полезно для защитных проникающих испытаний. Организация может сканировать свои собственные системы, чтобы определить, какие службы находятся в сети, и обеспечить их надежную настройку.
Насколько опасны сканирование портов?
Сканирование портов может помочь злоумышленнику найти слабую точку атаки и проникнуть в компьютерную систему. Однако это только первый шаг. Просто потому, что вы нашли открытый порт, это не значит, что вы можете атаковать его. Но, как только вы обнаружите открытый порт, на котором работает служба прослушивания, вы можете сканировать его на наличие уязвимостей. Это реальная опасность.
В вашей домашней сети почти наверняка есть маршрутизатор, сидящий между вами и Интернетом. Кто-то из Интернета сможет только порт-сканировать ваш маршрутизатор, и они не найдут ничего, кроме потенциальных сервисов на самом маршрутизаторе. Этот маршрутизатор действует как брандмауэр, если только вы не перенаправили отдельные порты с вашего маршрутизатора на устройство, и в этом случае эти конкретные порты будут открыты в Интернете.
Для компьютерных серверов и корпоративных сетей брандмауэры могут быть сконфигурированы для обнаружения сканирования портов и блокировки трафика с сканируемого адреса. Если все службы, подверженные воздействию Интернета, надежно настроены и не имеют известных дырок в системе безопасности, сканирование портов не должно быть слишком страшным.
Типы сканирования портов
Если порт закрыт, удаленная система ответит сообщением RST (сброс). Если удаленная система просто отсутствует в сети, ответа не будет.
Некоторые сканеры выполняют «TCP-открытую» проверку. Вместо того, чтобы проходить полный цикл SYN, SYN-ACK и ACK, они просто отправляют SYN и ждут ответа SYN-ACK или RST. Нет необходимости отправлять окончательный ACK для завершения соединения, так как SYN-ACK скажет сканеру все, что ему нужно знать. Это быстрее, потому что нужно отправлять меньше пакетов.
Другие типы сканирования включают отправку незнакомых, искаженных типов пакетов и ожидание, чтобы удаленная система вернула пакет RST, закрывающий соединение.Если это так, сканер знает, что в этом месте есть удаленная система, и один конкретный порт закрыт на нем. Если пакет не получен, сканер знает, что порт должен быть открыт.
Простое сканирование портов, в котором программное обеспечение запрашивает информацию о каждом порту, один за другим, легко обнаружить. Сетевые брандмауэры могут быть легко настроены для обнаружения и прекращения этого поведения.
Вот почему некоторые методы сканирования портов работают по-разному. Например, сканирование портов может сканировать меньший диапазон портов или может сканировать весь диапазон портов за гораздо более длительный период, поэтому было бы сложнее обнаружить.
Сканирование портов - это базовый инструмент безопасности для хлеба и масла, когда речь идет о проникновении (и обеспечении безопасности) компьютерных систем. Но это всего лишь инструмент, который позволяет злоумышленникам находить порты, которые могут быть уязвимы для атаки. Они не дают злоумышленнику доступа к системе, и система с надежной настройкой может, безусловно, выдерживать полное сканирование портов без вреда.