We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Что такое сканирование портов?

Сканирование портов — это метод определения открытых портов в сети, которые могут принимать или отправлять данные. Кроме того, это процесс отправки пакетов на определенные порты на хосте и анализа ответов для выявления уязвимостей. Этот процесс сканирования не может выполняться без определения списка активных хостов и сопоставления этих хостов с их IP-адресами. Правильное сканирование портов может быть выполнено только после тщательного сканирования сети и составления списка хостов. Организация IP-адресов, хостов и портов позволяет сканирующей программе правильно определять открытые или уязвимые места серверов с целью диагностики уровней безопасности.

Сканирование выявляет наличие системы безопасности, например брандмауэра, между сервером и устройством пользователя.

И хакеры, и администраторы проводят такое сканирование для проверки политик безопасности сети и выявления уязвимостей, вот только хакерам эта информация нужна, чтобы воспользоваться слабыми точками доступа.

Обычно для сканирования портов используются следующие протоколы: TCP (протокол управления передачей данных) и UDP (протокол пользовательских датаграмм). Оба они предназначены для передачи данных в Интернете, но имеют разные механизмы. TCP — это надежная двусторонняя передача данных, основанная на соединении, при которой успешность отправки зависит от статуса адресата. Протокол UDP не требует установления соединения и ненадежен. Данные отправляются без учета пункта назначения. Следовательно, нет гарантий, что данные вообще будут переданы. Ниже описано несколько различных методов сканирования портов с использованием этих двух протоколов.

Что такое порт?

Компьютерный порт — это главное место соединения потока информации из программы или Интернета с устройством или другим компьютером в сети и наоборот. Это место обмена данными с помощью электронных средств, программного обеспечения или механизмов, связанных с программированием. В целях обеспечения системности и для удобства программирования портам были назначены номера. Номер порта в сочетании с IP-адресом образует важную информацию, которая хранится у каждого интернет-провайдера для выполнения запросов. Порты могут иметь номер от 0 до 65 536 и обычно распределяются по популярности.

Порты с номерами от 0 до 1023 широко известны. Они предназначены для использования в Интернете, хотя также могут выполнять специализированные задачи. Они находятся в ведении Администрации адресного пространства Интернет (IANA). Эти порты принадлежат ведущим компаниям, таким как Apple QuickTime, MSN, SQL Services и другим известным организациям. Ниже приведены некоторые наиболее известные порты и назначенные им службы. Возможно, они покажутся вам знакомыми.

  • Порт 20 (UDP) поддерживает протокол передачи файлов (FTP), используемый для передачи данных.
  • Порт 22 (TCP) поддерживает протокол безопасной оболочки (SSH) для безопасного входа в систему, передачи данных и переадресации портов.
  • Порт 53 (UDP) — это система доменных имен (DNS), которая переводит имена в IP-адреса.
  • Порт 80 (TCP) — протокол передачи гипертекста (HTTP) для служб всемирной сети.

Порты с 1024 по 49 151 считаются «зарегистрированными», то есть они зарегистрированы корпорациями-разработчиками программного обеспечения. Порты с 49 151 по 65 536 являются динамическими и частными и могут использоваться практически всеми.

Какую информацию дает сканирование портов?

Благодаря сканированию портов пользователь может узнать состояние сети или сервера, которое бывает трех категорий: открыт, закрыт или фильтруется.

Открытые порты.

Целевые серверы или сети активно принимают соединения или датаграммы и отправляют обратно пакеты, давая понять, что они слушают. Это также указывает на использование службы сканирования (обычно TCP или UDP). Обнаружение открытых портов, как правило, является главной целью сканирования, поскольку хакеры могут использовать их для атаки. Администраторы, в свою очередь, пытаются заблокировать эти порты, устанавливая брандмауэры для их защиты, без ограничения доступа для зарегистрированных пользователей.

Закрытые порты.

Сервер или сеть получили запрос, но никакие службы не «слушают» этот порт. Закрытый порт остается доступным и может быть полезен для демонстрации того, что хост находится на IP-адресе. Эти порты по-прежнему необходимо отслеживать, поскольку их могут открыть, что создаст уязвимости. Администраторам следует подумать о том, чтобы заблокировать их с помощью брандмауэра, после чего они перейдут в состояние «фильтрации».

Фильтрующиеся порты.

Пакет запроса отправлен, но хост не ответил и не слушает. Обычно это означает, что пакет запроса был отфильтрован и (или) заблокирован брандмауэром. Пакеты не достигают места назначения, поэтому злоумышленники не могут получить дополнительную информацию. Они часто отвечают сообщениями об ошибках «пункт назначения недоступен» или «передача данных запрещена».

Методы сканирования портов

Существует несколько методов сканирования портов, которые заключаются в отправке пакетов в различные пункты назначения в зависимости от цели.

Ниже описаны принципы действия некоторых из множества методов:

  • Простейшее сканирование портов называется ping-сканированием. Этот метод подразумевает отправку запросов протокола управляющих сообщений в Интернете (ICMP). При ping-сканировании несколько запросов ICMP автоматически отправляются на разные серверы с целью получить ответы. Администраторы могут использовать этот метод для устранения неполадок или отключить ответ на ping-запросы в брандмауэре, что не позволит злоумышленникам найти сеть с помощью проверки связи.
  • Полуоткрытое сканирование, или SYN-сканирование, предполагает только отправку SYN-сообщений (сокращение от synchronize — «синхронизировать») без завершения соединения, что приводит к зависанию целевого устройства. Это быстрый и хитрый метод, направленный на обнаружение потенциальных открытых портов на целевых устройствах.
  • XMAS-сканирование — еще более мягкий и менее заметный метод. Иногда брандмауэры пропускают пакеты FIN (сообщение, означающее, что «от отправителя больше нет данных»), поскольку они в основном ищут пакеты SYN. По этой причине при XMAS-сканировании отправляются пакеты со всеми флагами, включая FIN. Отсутствие ответа будет означать, что порт открыт. Получение в ответ пакета RST будет означать, что порт закрыт. Это просто более хитрый способ узнать информацию о защите сети и брандмауэре, так как такое сканирование редко отображается в журналах.

Как хакеры могут использовать сканирование портов в качестве метода атаки?

По данным института SANS, сканирование портов является одной из самых популярных тактик, используемых хакерами при поиске уязвимого сервера для взлома.

Злоумышленники часто используют сканирование портов в качестве подготовки к атаке на сеть. Они проводят сканирование, чтобы оценить уровни безопасности различных организаций и определить, у кого установлен сильный брандмауэр, а у кого могут быть уязвимы сервер или сеть. Некоторые методы протокола TCP позволяют злоумышленникам скрыть свое сетевое местоположение и использовать «ложный трафик» для выполнения сканирования портов, не раскрывая целевому устройству какой-либо сетевой адрес.

Они проверяют сети и системы, чтобы увидеть реакцию каждого порта и понять их состояние (открыт, закрыт или фильтруется). Ответы открытых и закрытых портов предупреждают хакеров о том, что ваша сеть в действительности является объектом проверки. Затем хакеры могут определить уровень безопасности и тип операционной системы вашего бизнеса. Сканирование портов — это старый метод, требующий изменений в системе безопасности и современной аналитики угроз, поскольку протоколы и инструменты безопасности ежедневно развиваются. Оповещения о сканировании портов и брандмауэры необходимы для отслеживания трафика к вашим портам и предотвращения обнаружения вашей сети вредоносным трафиком.