Какво е пристанище?
Когато дадено устройство се свързва с друго устройство през мрежа, то определя номер на TCP или UDP порт от 0 до 65535. Някои портове обаче се използват по-често. TCP портовете от 0 до 1023 са "добре познати пристанища", които предоставят системни услуги. Например порт 20 е FTP файлов трансфер, порт 22 е терминални връзки за Secure Shell (SSH), порт 80 е стандартен HTTP уеб трафик и порт 443 е шифрован HTTPS. Така че, когато се свързвате със защитен уебсайт, вашият уеб браузър говори с уеб сървъра, който слуша на порт 443 на този сървър.
Услугите не винаги трябва да работят на тези специфични портове. Например можете да стартирате HTTPS уеб сървър на порт 32342 или Secure Shell сървър на порт 65001, ако сте харесали. Това са само стандартните по подразбиране.
Какво представлява пристанището на сканиране?
Проверка на портове е процес на проверка на всички портове на IP адрес, за да видите дали те са отворени или затворени. Софтуерът за сканиране на портове ще провери порт 0, порт 1, порт 2 и по целия път до порт 65535. Той прави това просто като изпраща заявка до всяко пристанище и иска отговор. В най-простата си форма, пристанищно сканиращият софтуер пита за всеки порт, един по един. Отдалечената система ще отговори и ще каже дали портът е отворен или затворен. Лицето, което управлява сканирането на пристанището, ще знае кои пристанища са отворени.
Всички защитни стени на мрежата могат да блокират или по друг начин да намалят трафика, така че сканирането на портове също е начин за намиране на пристанищата, които са достъпни или изложени на мрежата на тази отдалечена система.
Инструментът nmap е обща мрежова програма, използвана за сканиране на портове, но има много други инструменти за сканиране на портове.
Защо хората пускат пристанищни скенери?
Тези типове сканирания също могат да помогнат при откриването на услуги, работещи на портове, които не са по подразбиране. Така че, ако работите със сървър SSH на порт 65001 вместо порт 22, сканирането на порт ще разкрие това и нападателят може да опита да се свърже с вашия SSH сървър на това пристанище. Не можете просто да скриете сървър на порт, който не е по подразбиране, за да защитите системата си, въпреки че прави сървъра по-труден за намиране.
Пристанищните сканирания не се използват само от нападатели. Пристанищните сканирания са полезни за отбранително проникващо тестване. Организацията може да сканира собствените си системи, за да определи кои услуги са изложени на мрежата и да гарантира, че са конфигурирани надеждно.
Колко опасни са пристанищата?
Пристанищното сканиране може да помогне на нападателя да намери слаба точка, за да атакува и да пробие компютърна система. Това обаче е само първата стъпка. Само защото открихте отворен порт не означава, че можете да го атакувате. Но след като откриете отворен порт, който изпълнява услуга за слушане, можете да го сканирате за уязвимости. Това е истинската опасност.
Във вашата домашна мрежа почти сигурно имате маршрут между вас и Интернет. Някой в интернет би могъл да сканира само вашия маршрутизатор и няма да намери нищо освен потенциалните услуги на самия маршрутизатор. Този маршрутизатор действа като защитна стена, освен ако не сте препратили отделни портове от маршрутизатора си към устройство, в който случай тези конкретни портове са изложени на Интернет.
За компютърни сървъри и корпоративни мрежи защитните стени могат да бъдат конфигурирани да откриват пристанищни сканирания и да блокират трафик от адреса, който сканира. Ако всички услуги, изложени на интернет, са добре конфигурирани и нямат известни дупки за сигурност, пристанищните сканирания не би трябвало дори да са прекалено страшни.
Видове пристанищни сканирания
Ако портът е затворен, отдалечената система ще отговори с съобщение RST (нулиране). Ако отдалечената система просто не присъства в мрежата, няма да има отговор.
Някои скенери изпълняват "TCP полуотворено" сканиране. Вместо да минават през пълен SYN, SYN-ACK и след това ACK цикъл, те просто изпращат SYN и чакат SYN-ACK или RST съобщение в отговор. Няма нужда да изпращате окончателно ACK за завършване на връзката, тъй като SYN-ACK ще каже на скенера всичко, което трябва да знае. Това е по-бързо, защото трябва да бъдат изпратени по-малко пакети.
Други видове сканирания включват изпращане на непознати, неправилно формулирани типове пакети и чакащи да се види дали отдалечената система връща пакет RST, който затваря връзката.Ако го направи, скенерът знае, че на това място има отдалечена система и че един конкретен порт е затворен. Ако не се получи пакет, скенерът знае, че портът трябва да е отворен.
Простото пристанищено сканиране, където софтуерът изисква информация за всеки порт, един по един, е лесно да се види. Мрежовите защитни стени могат лесно да бъдат конфигурирани за откриване и спиране на това поведение.
Ето защо някои техники за сканиране на портове работят по различен начин. Например, сканирането на портове може да сканира по-малък брой портове или може да сканира целия обхват от портове за много по-дълъг период, така че ще бъде по-трудно да се открие.
Пристанищните сканирания са основно средство за защита на хляба и маслото, когато става дума за проникващи (и обезопасяващи) компютърни системи. Но те са само инструмент, който позволява на атакуващите да намерят пристанища, които може да са уязвими на атаки. Те не дават на атакуващия достъп до система, а сигурна конфигурирана система със сигурност може да издържи пълно сканиране на пристанището без да навреди.
