Een port scan is een beetje zoals het wiebelen van een bos van deurknoppen om te zien welke deuren zijn vergrendeld. De scanner leert welke poorten op een router of firewall open, en kan deze informatie gebruiken om te zoeken naar een computer systeem van de potentiële zwakke punten.
Wat is een Port?
Wanneer een apparaat verbinding maakt met een ander apparaat via een netwerk, hiermee wordt een TCP-of UDP poort nummer van 0 tot en met 65535. Sommige ports worden vaker gebruikt, echter. TCP-poorten 0 tot en met 1023 zijn “well-known ports” dat systeem bieden diensten. Bijvoorbeeld, haven 20 is FTP-bestandsoverdracht, poort 22 is Secure Shell (SSH) aansluitingen, poort 80 is de standaard HTTP-verkeer, en poort 443 versleutelde HTTPS. Dus, wanneer u verbinding maakt met een beveiligde website, your web browser is in gesprek met de web-server die luistert op poort 443 van die server.
Diensten hoeft niet altijd uitvoeren op deze specifieke poorten. U kunt bijvoorbeeld het uitvoeren van een HTTPS-server op poort 32342 of een Secure Shell server op poort 65001, als je het leuk vond. Dit zijn gewoon de standaardinstellingen.
Wat is een Port Scan?
Een port scan is een proces van het controleren van alle poorten op een IP-adres om te zien of ze open of gesloten zijn. De haven-software voor het scannen zou controleren poort 0, poort 1 poort 2, en helemaal door tot de haven en met 65535. Het doet dit door simpelweg een verzoek te sturen naar elke poort en vragen voor een antwoord. In zijn eenvoudigste vorm, de haven-software voor het scannen vraagt over elke poort, een voor een tijd. Het externe systeem zullen reageren en zeggen, of een poort open of gesloten is. De persoon die de poort scan zou dan weten welke poorten open zijn.
Een netwerk-firewalls in de weg te blokkeren, of anderszins daling van het verkeer, dus een port scan is ook een methode te vinden welke poorten bereikbaar zijn, of worden blootgesteld aan het netwerk, op de externe systeem.
De tool nmap is een netwerk hulpprogramma wordt gebruikt voor het scannen van poorten, maar er zijn vele andere haven-hulpprogramma ‘ s.
Waarom Doen Mensen Lopen Port Scans?
Port scans zijn handig voor het vaststellen van een systeem kwetsbaarheden. Een port scan zou vertellen dat een aanvaller welke poorten open zijn op het systeem, en dat ze zouden helpen bij het formuleren van een plan van aanval. Bijvoorbeeld, als u een Beveiligde Shell (SSH) server werd gedetecteerd als het luisteren op poort 22, de aanvaller kan proberen om verbinding te maken en te controleren op zwakke wachtwoorden. Als een ander type van de server luistert op een andere poort van de aanvaller steken op en zien of er zit een bug die kan worden benut. Misschien een oude versie van de software wordt uitgevoerd, en er is een bekende gat in de beveiliging.
Deze soorten scans kunnen ook helpen bij het detecteren van services die draaien op niet-standaard poorten. Dus, als je een SSH-server op poort 65001 in plaats van poort 22, de port scan zou openbaren dit, en de aanvaller kan proberen contact te maken met je SSH-server op de desbetreffende poort. Je kan het niet verbergen voor een server op een niet-standaard poort voor het beveiligen van je systeem, maar het heeft te maken met de server moeilijker te vinden.
Port scans zijn niet alleen die door aanvallers worden gebruikt. Port scans zijn nuttig voor defensieve doordringende testen. Een organisatie kan het scannen van de eigen systemen om te bepalen welke diensten worden blootgesteld aan het netwerk, en ervoor te zorgen dat ze geconfigureerd veilig.
Hoe Gevaarlijk Zijn Port Scans?
Een port scan kan helpen een aanvaller vindt een zwak punt aan te vallen en te breken in een computer systeem. Het is pas de eerste stap, hoewel. Alleen maar omdat u hebt gevonden een open poort betekent niet dat je kan vallen. Maar, als je eenmaal hebt gevonden een open poort waarop een luisterend service, u kunt het scannen op kwetsbaarheden. Dat is het echte gevaar.
Op uw thuisnetwerk, hebt u bijna zeker een router zit tussen u en het Internet. Iemand op Internet zou alleen in staat zijn om de haven-scan van uw router, en ze niet zou vinden iets, afgezien van mogelijke diensten op de router zelf. De router fungeert als firewall—tenzij u hebt doorgeschakeld individuele poorten van uw router is een apparaat, in welk geval deze specifieke poorten zijn toegankelijk via het Internet.
Voor computer servers en bedrijfsnetwerken, firewalls zijn geconfigureerd voor poortscans detecteren en blokkeren het verkeer naar het adres dat scannen. Als alle diensten die blootgesteld is aan het internet zijn goed geconfigureerd en hebben geen bekende gaten in de beveiliging, port scans zou niet eens te eng.
Soorten Port Scans
In een “volledige TCP-verbinding” port scan, de scanner stuurt een SYN (verbinding aanvraag) bericht naar een haven. Als de poort open is, wordt het externe systeem antwoordt met een SYN-ACK (bevestiging) bericht. De scanner dan reageert met zijn eigen ACK (bevestiging) bericht. Dit is een volledige TCP-verbinding handdruk, en de scanner weet het systeem is het accepteren van verbindingen op een poort als dit proces plaatsvindt.
Als de poort gesloten is, wordt het externe systeem zal reageren met een RST (reset) bericht. Als het externe systeem gewoon niet op het netwerk aanwezig is, zal er geen reactie.
Sommige scanners uitvoeren van een “TCP half-open” scan. In plaats van door een volledige SYN, SYN-ACK, en dan ACK cyclus, ze sturen een SYN en te wachten voor een SYN-ACK of het EERSTE bericht in een reactie. Er is geen noodzaak voor het verzenden van een laatste ACK om de verbinding te voltooien, als de SYN-ACK vertellen de scanner alles wat ze moet weten. Het is sneller omdat er minder pakketten moet worden verzonden.
Andere soorten scans gaan om het sturen van vreemde, misvormde soorten pakketten en wachten om te zien of het externe systeem geeft een RST pakket het sluiten van de verbinding. Als dat zo is, de scanner weet is er een remote systeem op die locatie en dat een bepaalde poort is gesloten. Als er geen pakket ontvangen, de scanner weet dat de poort moet openen.
Een eenvoudige, port scan waar de software vraagt informatie over elke poort, een voor een, is makkelijk te herkennen. Netwerk-firewalls kunnen eenvoudig worden geconfigureerd om te detecteren en te stoppen met dit gedrag.
Dat is de reden waarom sommige haven-scanning technieken werken anders. Bijvoorbeeld, een port scan kan een scan van een kleiner bereik van poorten, of kan een scan van het volledige bereik van poorten over een veel langere periode, dus het zou moeilijk zijn om te herkennen.
Port scans zijn van een basic -, brood-en-boter tool als het gaat om indringende (en borgen) computer systemen. Maar ze zijn slechts een hulpmiddel waarmee aanvallers vinden poorten die mogelijk kwetsbaar zijn voor aanvallen. Ze geven niet een aanvaller toegang tot een systeem, en een goed geconfigureerd systeem kan zeker tegen een volledige port scan met geen kwaad.
Image Credit: xfilephotos/Shutterstock.com, Casezy idee/Shutterstock.com.