Ano ang pag-scan ng port? Ito ay katulad ng isang magnanakaw na dumadaan sa iyong kapitbahayan at sinuri ang bawat pinto at bintana sa bawat bahay upang makita kung alin ang bukas at kung alin ang naka-lock.
Ang TCP ( Transmission Control Protocol ) at UDP (User Datagram Protocol) ay dalawa sa mga protocol na bumubuo sa TCP / IP protocol suite na ginagamit sa buong mundo upang makipag-usap sa Internet. Ang bawat isa sa mga ito ay may mga port na 0 hanggang 65535 na magagamit kaya mahalagang may higit sa 65,000 mga pinto upang i-lock.
Ang unang 1024 TCP port ay tinatawag na Well-Known Ports at nauugnay sa mga karaniwang serbisyo tulad ng FTP, HTTP, SMTP o DNS . Ang ilan sa mga address sa paglipas ng 1023 ay may karaniwang mga kaugnay na serbisyo, ngunit ang karamihan sa mga port na ito ay hindi nauugnay sa anumang serbisyo at magagamit para sa isang programa o application na gagamitin upang makipag-usap.
Paano Gumagana ang Port Scanning
Ang software sa pag-scan ng port, sa pinakasimpleng estado nito, ay nagpapadala lamang ng isang kahilingan upang kumonekta sa target na computer sa bawat port nang sunud-sunod at gumagawa ng tala kung saan ang mga port ay tumugon o tila bukas sa mas malalim na probing.
Kung ang pag-scan ng port ay tapos na sa malisyosong hangarin, ang masusupil sa pangkalahatan ay mas gusto upang pumunta undetected. Maaaring i-configure ang mga application sa seguridad ng network upang alertuhan ang mga administrator kung nakita nila ang mga kahilingan sa koneksyon sa isang malawak na hanay ng mga port mula sa iisang host. Upang makapunta sa paligid na ito ang entremetido ay maaaring gawin ang port scan sa strobe o stealth mode. Ang mga strobing ay naglilimita sa mga port sa isang mas maliit na hanay ng target kaysa sa kumpletong pag-scan sa lahat ng 65536 port. Ang stealth scan ay gumagamit ng mga diskarte tulad ng pagbagal ng pag-scan. Sa pamamagitan ng pag-scan sa mga port sa isang mas matagal na panahon ng oras binawasan mo ang pagkakataon na ang target ay magpapalitaw ng isang alerto.
Sa pamamagitan ng pagtatakda ng iba't ibang mga flags ng TCP o pagpapadala ng iba't ibang uri ng mga packet ng TCP ang port scan ay maaaring makabuo ng iba't ibang mga resulta o hanapin ang mga open port sa iba't ibang paraan. Ang isang SYN scan ay magsasabi sa port scanner kung saan ang mga port ay nakikinig at kung saan ay hindi depende sa uri ng tugon na nabuo. Ang isang FIN scan ay bubuo ng isang tugon mula sa mga closed port - ngunit ang mga port na bukas at pakikinig ay hindi magpapadala ng tugon, kaya ang port scanner ay makapagtutukoy kung aling mga port ang bukas at kung saan ay hindi.
Mayroong ilang iba't ibang mga paraan upang maisagawa ang aktwal na pag-scan ng port pati na rin ang mga trick upang itago ang tunay na pinagmulan ng port scan. Maaari kang magbasa nang higit pa tungkol sa ilan sa mga ito sa pamamagitan ng pagbisita sa mga website na ito: Ipinaliwanag ang Port Scanning o Network Probes.
Paano Mag-monitor para sa Port Scans
Posible upang masubaybayan ang iyong network para sa mga pag-scan ng port. Ang lansihin, tulad ng karamihan sa mga bagay sa seguridad ng impormasyon , ay upang mahanap ang tamang balanse sa pagitan ng pagganap ng network at kaligtasan ng network. Maaari mong subaybayan ang mga pag-scan ng SYN sa pamamagitan ng pag-log ng anumang pagsubok na magpadala ng isang paketeng SYN sa isang port na hindi bukas o nakikinig. Gayunpaman, sa halip na maalalahanan tuwing may naganap na isang pagtatangka- at posibleng awakened sa kalagitnaan ng gabi para sa isang walang-sala na pagkakamali-dapat kang magpasya sa mga hangganan upang ma-trigger ang alerto. Halimbawa, maaari mong sabihin na kung mayroong higit sa 10 mga pack ng SYN na pagtatangka sa mga hindi nakikinig na mga port sa isang naibigay na minuto na ang isang alerto ay dapat na ma-trigger. Maaari kang mag-disenyo ng mga filter at mga bitag upang makita ang iba't ibang mga paraan ng pag-scan ng port-nanonood para sa isang pako sa mga pack ng FIN o isang maanomalyang bilang ng mga pagtatangka ng koneksyon sa iba't ibang mga port at / o mga IP address mula sa isang pinagmulan ng IP.
Upang makatulong na matiyak na protektado at secure ang iyong network maaari mong hilingin na isagawa ang iyong sariling mga pag-scan sa port. Ang isang pangunahing caveat dito ay upang matiyak na mayroon kang pag-apruba ng lahat ng mga kapangyarihan na bago lumunsad sa proyektong ito upang masumpungan mo ang iyong sarili sa maling bahagi ng batas. Upang makakuha ng tumpak na mga resulta maaaring maging pinakamahusay upang maisagawa ang port scan mula sa isang remote na lokasyon gamit ang mga di-kumpanya na kagamitan at ibang ISP . Ang paggamit ng software tulad ng NMap maaari mong i-scan ang isang hanay ng mga IP address at port at malaman kung ano ang isang magsasalakay ay makita kung sila ay sa port i-scan ang iyong network. Ang NMap, sa partikular, ay nagbibigay-daan sa iyo upang makontrol ang halos bawat aspeto ng pag-scan at magsagawa ng iba't ibang mga uri ng port scan upang umangkop sa iyong mga pangangailangan.
Sa sandaling malaman mo kung anong mga port ang tumutugon bilang bukas sa pamamagitan ng pag-scan sa port ng iyong sariling network maaari mong simulan upang gumana sa pagtukoy kung talagang kinakailangan para sa mga port na mapupuntahan mula sa labas ng iyong network. Kung hindi sila kinakailangan, dapat mong patayin o i-block ang mga ito. Kung kinakailangan, maaari mong simulan ang pagsasaliksik kung anong uri ng mga kahinaan at pagsasamantala ang iyong network ay bukas sa pamamagitan ng pagkakaroon ng mga port na mapupuntahan at magtrabaho upang ilapat ang naaangkop na mga patches o pagpapagaan upang protektahan ang iyong network hangga't maaari.