บทนำเกี่ยวกับการสแกนพอร์ตในระบบความปลอดภัยของเครือข่าย

Anonim

การสแกนพอร์ตคืออะไร? คล้ายกับขโมยที่กำลังเดินผ่านบริเวณใกล้เคียงของคุณและตรวจสอบทุกประตูและหน้าต่างในแต่ละบ้านเพื่อดูว่ามีคนใดที่เปิดอยู่และคนใดที่ถูกล็อก

TCP (Transmission Control Protocol) และ UDP (User Datagram Protocol) เป็นโปรโตคอลสองแบบที่ประกอบด้วยชุดโปรโตคอล TCP / IP ซึ่งใช้กันแพร่หลายในอินเทอร์เน็ต แต่ละแห่งมีพอร์ต 0 ถึง 65535 ที่พร้อมใช้งานดังนั้นจึงมีประตูล็อคไว้ให้มากกว่า 65,000 ประตู

พอร์ต 1024 TCP แรกจะเรียกว่าพอร์ตที่รู้จักกันดีและเชื่อมโยงกับบริการมาตรฐานเช่น FTP, HTTP, SMTP หรือ DNS ที่อยู่บางแห่งใน 1023 มีบริการที่เกี่ยวข้องโดยทั่วไป แต่พอร์ตส่วนใหญ่เหล่านี้ไม่มีส่วนเกี่ยวข้องกับบริการใด ๆ และพร้อมใช้งานสำหรับโปรแกรมหรือแอ็พพลิเคชันที่ใช้ในการติดต่อสื่อสาร

วิธีการสแกนพอร์ตทำงาน

ซอฟต์แวร์สแกนพอร์ตในสถานะขั้นพื้นฐานที่สุดเพียงแค่ส่งคำขอเชื่อมต่อไปยังคอมพิวเตอร์เป้าหมายในแต่ละพอร์ตตามลำดับและจะแจ้งให้ทราบว่าพอร์ตใดตอบสนองหรือดูเหมือนจะเปิดกว้างเพื่อเจาะลึกมากขึ้น

หากมีการสแกนพอร์ตด้วยเจตนาที่เป็นอันตรายผู้บุกรุกมักจะชอบที่จะไม่ถูกตรวจพบ แอ็พพลิเคชันความปลอดภัยเครือข่ายสามารถกำหนดค่าเพื่อแจ้งเตือนผู้ดูแลระบบหากตรวจพบคำขอเชื่อมต่อระหว่างพอร์ตต่างๆจากโฮสต์เดียว ผู้บุกรุกสามารถทำพอร์ตสแกนในโหมด Strobe หรือ Stealth ได้ Strobing จำกัด พอร์ตให้มีขนาดเล็กกว่าชุดเป้าหมายไม่ใช่ผ้าห่มที่สแกนพอร์ตทั้งหมด 65536 การสแกน Stealth ใช้เทคนิคต่างๆเช่นการสแกนช้า เมื่อสแกนพอร์ตในระยะเวลานานคุณจะลดโอกาสที่เป้าหมายจะเรียกเตือน

โดยการตั้งค่าสถานะ TCP ที่แตกต่างกันหรือส่งแพ็กเก็ต TCP ชนิดต่างๆการสแกนพอร์ตสามารถสร้างผลลัพธ์ที่ต่างกันหรือค้นหาพอร์ตที่เปิดได้หลายวิธี การสแกน SYN จะแจ้งให้สแกนพอร์ตซึ่งพอร์ตกำลังฟังอยู่และไม่ได้ขึ้นอยู่กับชนิดของการตอบสนองที่สร้างขึ้น การสแกน FIN จะสร้างการตอบสนองจากพอร์ตที่ปิด แต่พอร์ทที่เปิดอยู่และฟังจะไม่ส่งการตอบสนองดังนั้นสแกนเนอร์พอร์ตจะสามารถกำหนดว่าพอร์ตใดที่เปิดอยู่และที่ไม่ใช่พอร์ต

มีหลายวิธีที่แตกต่างกันเพื่อทำการสแกนพอร์ตจริงรวมทั้งเทคนิคเพื่อซ่อนแหล่งที่มาที่แท้จริงของการสแกนพอร์ต

วิธีตรวจสอบการสแกนพอร์ต

สามารถตรวจสอบเครือข่ายของคุณสำหรับการสแกนพอร์ต เคล็ดลับเช่นเดียวกับสิ่งที่สำคัญที่สุดในด้านความปลอดภัยของข้อมูลคือการค้นหาความสมดุลที่เหมาะสมระหว่างประสิทธิภาพของเครือข่ายและความปลอดภัยของเครือข่าย คุณสามารถตรวจสอบการสแกน SYN โดยการบันทึกความพยายามในการส่งแพคเก็ต SYN ไปยังพอร์ตที่ไม่ได้เปิดหรือฟัง อย่างไรก็ตามแทนที่จะได้รับการแจ้งเตือนทุกครั้งที่เกิดความพยายามครั้งเดียวและอาจถูกปลุกให้ตื่นขึ้นในตอนกลางคืนเพื่อให้เกิดความผิดพลาดอย่างไร้เดียงสามิฉะนั้นคุณควรตัดสินใจเกี่ยวกับเกณฑ์ที่จะทำให้เกิดการแจ้งเตือน ตัวอย่างเช่นคุณอาจบอกว่าถ้ามีมากกว่า 10 แพคเก็ต SYN พยายามที่จะไม่ฟังพอร์ตในนาทีที่ระบุว่าควรมีการแจ้งเตือน คุณสามารถออกแบบตัวกรองและกับดักเพื่อตรวจจับวิธีการสแกนพอร์ตต่างๆได้โดยดูจากแพ็คเก็ต FIN หรือเพียงแค่จำนวนที่ผิดปกติของการเชื่อมต่อไปยังพอร์ตและ / หรือที่อยู่ IP จำนวนมากจากแหล่ง IP เดียว

เพื่อช่วยให้แน่ใจว่าเครือข่ายของคุณได้รับการป้องกันและรักษาความปลอดภัยคุณอาจต้องการสแกนพอร์ตของคุณเอง MAJOR ข้อแม้นี่คือเพื่อให้แน่ใจว่าคุณได้รับการอนุมัติจากอำนาจทั้งหมดที่ได้รับก่อนเริ่มดำเนินการโครงการนี้เพื่อมิให้คุณพบว่าตัวเองผิดด้านกฎหมาย เพื่อให้ได้ผลลัพธ์ที่ถูกต้องควรทำสแกนพอร์ตจากสถานที่ห่างไกลโดยใช้อุปกรณ์ที่ไม่ใช่ของ บริษัท และ ISP อื่น การใช้ซอฟต์แวร์เช่น Nmap คุณสามารถสแกนที่อยู่ IP และพอร์ตต่างๆรวมทั้งค้นหาว่าผู้บุกรุกสามารถดูว่ามีการสแกนเครือข่ายของคุณหรือไม่ โดยเฉพาะอย่างยิ่ง NMap ช่วยให้คุณสามารถควบคุมเกือบทุกแง่มุมของการสแกนและทำการสแกนพอร์ตต่างๆเพื่อให้เหมาะกับความต้องการของคุณ

เมื่อคุณพบว่าพอร์ตตอบสนองอย่างไรเมื่อมีการเปิดพอร์ตด้วยการสแกนเครือข่ายของคุณเองคุณสามารถเริ่มต้นค้นหาว่าเป็นจริงหรือไม่ จำเป็น สำหรับพอร์ตเหล่านั้นสามารถเข้าถึงได้จากภายนอกเครือข่ายของคุณ หากไม่จำเป็นคุณควรปิดหรือปิดกั้น หากจำเป็นต้องใช้คุณสามารถเริ่มค้นคว้าถึงช่องโหว่และช่องโหว่ต่างๆที่เครือข่ายของคุณเปิดรับได้โดยการเข้าถึงพอร์ตเหล่านี้ได้และทำงานเพื่อใช้แพทช์หรือการลดความเสี่ยงที่เหมาะสมเพื่อปกป้องเครือข่ายของคุณให้มากที่สุดเท่าที่จะเป็นไปได้

ตัวเลือกของบรรณาธิการ