Hva er portskanning? Det ligner på en tyv som går gjennom nabolaget ditt og sjekker hver dør og hvert vindu i hvert hus for å se hvilke som er åpne og hvilke som er låst.
TCP (Transmission Control Protocol) og UDP (User Datagram Protocol) er to av protokollene som utgjør TCP / IP-protokollpakken, som brukes universelt til å kommunisere på Internett. Hver av disse har porter 0 til 65535 tilgjengelig, så det er egentlig mer enn 65,000 XNUMX dører å låse.
Hvordan portskanning fungerer
Portskanningsprogramvare, i sin mest grunnleggende tilstand, sender ut en forespørsel om å koble til måldatamaskinen på hver port sekvensielt og noterer hvilke porter som reagerte eller virket åpne for mer inngående sondering.
Hvis havneskanningen er skadelig, vil inntrengeren generelt foretrekke å bli uoppdaget. Du kan konfigurere nettverkssikkerhetsapplikasjoner for å varsle administratorer hvis de oppdager tilkoblingsforespørsler i et bredt spekter av porter fra en enkelt vert.
For å komme rundt dette kan inntrengeren gjøre portskanning i strobe- eller stealth-modus. Strobing begrenser portene til et mindre målsett i stedet for teppeskanning av alle 65536 porter. Skjult skanning bruker teknikker som å bremse skanningen. Ved å skanne portene over en lengre periode reduserer du sjansen for at målet vil utløse et varsel.
Ved å angi forskjellige TCP-flagg eller sende forskjellige typer TCP-pakker, kan portskanningen generere forskjellige resultater eller finne åpne porter på forskjellige måter. En SYN-skanning vil fortelle portskanneren hvilke porter som lytter, og hvilke som ikke er avhengig av typen respons som genereres. En FIN-skanning vil skape et svar fra lukkede porter, men åpne porter og lytting vil ikke r, så portskanneren vil kunne bestemme hvilke porter som er åpne og hvilke som ikke er.
Det er flere forskjellige metoder for å utføre de faktiske havnesøkene, samt triks for å skjule kilden til en havneskanning.
Hvordan overvåke for portskanning
Det er mulig å overvåke nettverket ditt for portskanning. Trikset, som med det meste innen informasjonssikkerhet, er å finne den rette balansen mellom nettverksytelse og nettverkssikkerhet.
Du kan overvåke for SYN-skanninger ved å logge ethvert forsøk på å sende en SYN-pakke til en port som ikke er åpen eller lytter. Imidlertid, i stedet for å bli varslet hver gang et enkelt forsøk oppstår, bestem deg for terskler for å utløse varselet. For eksempel kan du si at et varsel skal utløses hvis det er mer enn 10 SYN-pakkeforsøk på ikke-lytterporter i et gitt minutt.
Du kan designe filtre og feller for å oppdage en rekke portskanningsmetoder, se etter en økning i FIN-pakker eller bare et uvanlig antall tilkoblingsforsøk til en rekke porter eller IP-adresser fra en enkelt IP-kilde.
For å sikre at nettverket ditt er beskyttet og sikkert, kan det være lurt å utføre dine egne portskanninger. En viktig advarsel her er å sikre at du har godkjenning av alle maktene før du går i gang med dette prosjektet, slik at du ikke befinner deg på feil side av loven.
For å få de mest nøyaktige resultatene, utfør portskanning fra et eksternt sted ved hjelp av ikke-selskapets utstyr og en annen ISP. Ved hjelp av programvare som Nmap kan du skanne en rekke IP-adresser og porter og finne ut hva en angriper vil se om de skulle portere nettverket ditt. Spesielt NMap lar deg kontrollere nesten alle aspekter av skanningen og utføre forskjellige typer portskanninger for å dekke dine behov.
Når du har funnet ut hvilke porter som reagerer som åpne ved å skanne nettverket ditt, kan du begynne å jobbe med å avgjøre om disse portene må være tilgjengelige utenfor nettverket ditt. Hvis de ikke kreves, bør du slå dem av eller blokkere dem. Hvis det er behov for det, kan du begynne å undersøke hva slags sårbarheter og utnyttelsen nettverket ditt er åpent for, ved å ha disse portene tilgjengelige og jobbe for å bruke de riktige oppdateringene eller begrensningen for å beskytte nettverket ditt så mye som mulig.