Мы поддерживаем браузеры, а не динозавров. Обновите свой браузер, чтобы содержимое данной веб-страницы отображалось правильно.

Что такое сканирование портов?

Сканирование портов — это метод определения открытых портов в сети, которые могут принимать или отправлять данные. Кроме того, это процесс отправки пакетов на определенные порты на хосте и анализа ответов для выявления уязвимостей.

Это сканирование не может выполняться без первоначального определения списка активных хостов и сопоставления этих хостов с их IP-адресами. Такой процесс называется обнаружением хостов. Он начинается со сканирования сети.

Целью сканирования портов и сети является определение организации системы IP-адресов, хостов и портов, чтобы надлежащим образом определить местоположение открытых или уязвимых серверов и уровень безопасности. Сканирование как сети, так и портов выявляет наличие системы безопасности, например брандмауэра между сервером и устройством пользователя.

После тщательного сканирования сети и составления списка активных хостов можно провести сканирование портов, чтобы определить открытые порты в сети, делающие возможным несанкционированный доступ.

Важно отметить, что сканирование сети и портов могут использовать как ИТ-администраторы, так и киберпреступники, чтобы проверить политики безопасности сети, определить уязвимости и (в случае злоумышленников) воспользоваться потенциальными слабыми местами, чтобы проникнуть в сеть. Обнаружение хостов в ходе сканирования сети часто является подготовкой перед совершением атаки.
Оба сканирования остаются ключевыми орудиями злоумышленников, поэтому на основе результатов сканирования сети и портов ИТ-администраторы могут определить уровень безопасности сети, чтобы защитить ее от атак.

Что такое сканирование портов?

Что такое порты и номера портов?

Компьютерный порт — это главное место подключения потока информации из программы или Интернета в устройство или другой компьютер в сети и наоборот. Его можно представить как место обмена данными с помощью электронных средств, программного обеспечения или механизмов, связанных с программированием.

В целях обеспечения системности и для удобства программирования портам были назначены номера. Номер порта в сочетании с IP-адресом образует важную информацию, которая хранится у каждого интернет-провайдера для выполнения запросов. Порты могут иметь номер от 0 до 65 536 и обычно распределяются по популярности.

Порты с номерами от 0 до 1023 широко известны. Они предназначены для использования Интернета, хотя также могут выполнять специализированные задачи. Они находятся в ведении Администрации адресного пространства Интернет (IANA). Эти порты принадлежат ведущим компаниям, таким как Apple QuickTime, MSN, SQL Services и другим известным организациям. Ниже приведены некоторые наиболее известные порты и назначенные им службы. Возможно, они покажутся вам знакомыми.

  • Порт 20 (UDP) поддерживает протокол передачи файлов (FTP), используемый для передачи данных.
  • Порт 22 (TCP) поддерживает протокол безопасной оболочки (SSH) для безопасного входа в систему, передачи данных и переадресации портов.
  • Порт 53 (UDP) — это система доменных имен (DNS), которая переводит имена в IP-адреса.
  • Порт 80 (TCP) — протокол передачи гипертекста (HTTP) для служб всемирной сети.

Порты с 1024 по 49 151 считаются «зарегистрированными», то есть они зарегистрированы корпорациями-разработчиками программного обеспечения. Порты с 49 151 по 65 536 являются динамическими и частными и могут использоваться практически всеми.

Какие протоколы используются при сканировании портов?

Обычно для сканирования портов используются следующие протоколы: TCP (протокол управления передачей данных) и UDP (протокол пользовательских датаграмм). Оба они предназначены для передачи данных в Интернете, но имеют разные механизмы.

TCP — это надежная двусторонняя передача данных, основанная на соединении, при которой успешность отправки зависит от статуса адресата. А протокол UDP работает без подключения и является ненадежным. При использовании протокола UDP данные отправляются без учета состояния пункта назначения. Следовательно, нет гарантий, что данные вообще будут переданы.

Существует несколько различных методов сканирования портов с помощью этих двух протоколов.

Какие методы используются для сканирования портов?

Для сканирования портов используются различные методы в зависимости от конкретной цели. Важно отметить, что киберпреступники также выбирают определенный метод сканирования, исходя из своих целей или стратегии атаки.

Ниже описаны некоторые методы и принципы их работы.

  • Ping-сканирование. Простейшее сканирование портов называется ping-сканированием. Проверка связи (ping) используется в сети, чтобы выяснить, возможна ли отправка сетевых пакетов данных на IP-адрес без ошибок. Ping-сканирование — это запросы протокола межсетевых управляющих сообщений (ICMP) с автоматической отправкой нескольких запросов ICMP на разные серверы, чтобы спровоцировать ответ. ИТ-администраторы могут использовать этот метод для устранения неполадок или отключить ответ на ping-запросы с помощью брандмауэра, что не позволит злоумышленникам найти сеть с помощью проверки связи.
  • Полуоткрытое, или SYN-сканирование. Полуоткрытое сканирование (называемое также SYN-сканированием, от synchronize — «синхронизировать») — это тактика, с помощью которой хакеры определяют состояние порта, не устанавливая полноценного подключения. При этом сканировании отправляется синхронизационное сообщение, но установка подключения не выполняется. Это быстрый и хитрый метод, направленный на обнаружение потенциальных открытых портов на целевых устройствах.
  • XMAS-сканирование. XMAS-сканирование — еще более мягкий и менее заметный для брандмауэра метод. Например, после трехстороннего подтверждения TCP и успешной передачи данных обычно с сервера или из клиента отправляются пакеты FIN, чтобы прекратить подключение. При этом передается сообщение, что «больше нет доступных данных от отправителя». Пакеты FIN часто остаются незамеченными брандмауэром, так как в первую очередь отслеживаются пакеты SYN. По этой причине при XMAS-сканировании отправляются пакеты со всеми флагами, включая FIN. Отсутствие ответа будет означать, что порт открыт. Если порт закрыт, будет получен ответ RST. XMAS-сканирование редко отображается в журналах отслеживания и является более незаметным способом получить данные о защите сети и брандмауэре.

Какие результаты можно получить при сканировании портов?

Сканирование портов показывает состояние сети или сервера. Результат может относиться к одной из трех категорий: открытые, закрытые или фильтруемые порты.

  • Открытые порты. Открытые порты показывают, что целевые серверы или сети активно принимают соединения или датаграммы и отправляют обратно пакеты, подтверждая, что они ожидают передачи данных. Это также указывает на то, что в них используется примененная для сканирования служба (обычно TCP или UDP).
    Обнаружение открытых портов, как правило, является главной целью сканирования, поскольку хакеры могут использовать их для атаки. Задачей ИТ-администраторов, в свою очередь, является попытка заблокировать открытые порты, устанавливая брандмауэры для их защиты, без ограничения доступа для допустимых пользователей.
  • Закрытые порты. Закрытые порты показывают, что серверы или сети получили запрос, но никакие службы не ожидают передачи данных через этот порт. Закрытый порт остается доступным и знать о нем может быть полезно, так как это означает что данный IP-адрес используется хостом. ИТ-администраторам нужно продолжать отслеживать закрытые порты, так как они могут перейти в открытое состояние, что приведет к возникновению уязвимостей. ИТ-администраторам следует подумать о том, чтобы заблокировать закрытые порты с помощью брандмауэра, после чего они перейдут в состояние «фильтрации».
  • Фильтруемые порты. Фильтруемые порты показывают, что пакет запроса отправлен, но хост не ответил и не ожидает передачи данных. Обычно это означает, что пакет запроса был отфильтрован и/или заблокирован брандмауэром. Если пакеты не достигают места назначения, злоумышленники не могут получить дополнительную информацию. Фильтруемые порты часто отвечают сообщениями об ошибках «пункт назначения недоступен» или «передача данных запрещена».
Какие результаты можно получить при сканировании портов?

Как хакеры могут использовать сканирование портов в качестве метода атаки?

По данным института SANS, сканирование портов является одной из самых популярных тактик, используемых хакерами при поиске уязвимого сервера для взлома.

Злоумышленники часто используют сканирование портов в качестве подготовки к атаке на сеть. Они проводят сканирование портов, чтобы оценить уровень защиты различных организаций и определить, у кого установлен надежный брандмауэр, а у кого могут быть уязвимы сервер или сеть. Некоторые методы протокола TCP позволяют злоумышленникам скрыть свое сетевое местоположение и использовать «ложный трафик» для выполнения сканирования портов, не раскрывая целевому устройству какой-либо сетевой адрес.

Злоумышленники проверяют сети и системы, чтобы увидеть реакцию каждого порта и понять их состояние (открыт, закрыт или фильтруется).

Например, ответы открытых и закрытых портов предупредят хакеров о наличии вашей сети и ее готовности принимать данные. Злоумышленники смогут определить уровень защиты и тип операционной системы, используемой вами.

Сканирование портов — это довольно старый метод, требующий изменений в системе безопасности и актуальных сведений об угрозах, поскольку протоколы и средства обеспечения безопасности постоянно развиваются. Рекомендуется использовать предупреждения о сканировании портов и брандмауэры, чтобы отслеживать трафик своих портов и не позволить хакерам обнаружить возможность неавторизованного проникновения в вашу сеть.