Mis on port?
Kui seade ühendab võrku teise seadmega, määratakse see TCP või UDP porti number vahemikus 0 kuni 65535. Mõningaid pordisid kasutatakse sagedamini. TCP-pordid 0 kuni 1023 on "tuntud portid", mis pakuvad süsteemiteenuseid. Näiteks port 20 on FTP-failiedastus, port 22 on Secure Shell (SSH) terminaliühendus, port 80 on standardne HTTP veebiliiklus ja port 443 on krüptitud HTTPS. Seega, kui loote turvalise veebisaidiga ühenduse, räägib teie veebibrauser veebiserverist, mis selle serveri porti 443 kuulab.
Teenuseid ei pea alati nendes konkreetsetes sadamates käima. Näiteks võite käivitada porti 32342 HTTPS-i veebiserveri või sadama 65001-ga Secure Shelli serveri, kui sulle meeldib. Need on ainult standardsed vaikeväärtused.
Mis on port-skannimine?
Sadamaanalüüs on kõigi portide kontrollimine IP-aadressil, et näha, kas need on avatud või suletud. Sadama skaneerimise tarkvara kontrollib porti 0, port 1, port 2 ja kogu suunas kuni pordi 65535. See toimub lihtsalt saates päringu igale sadamale ja küsides vastust. Kõige lihtsamal kujul küsib port-skannimistarkvara iga pordi kohta ükshaaval. Kaugsüsteem vastab ja ütleb, kas port on avatud või suletud. Port-skaneerimise käitaja teab siis, millised sadamad on avatud.
Igal viisil võrgu tulemüürid võivad blokeerida või muul viisil liiklust kaotada, nii et ka pordi skannimine on ka meetod selle kohta, millised pordid on selles puldesüsteemis kättesaadavad või võrku puutuda.
Nmap-i tööriist on sadama skaneerimiseks kasutatav ühine võrguliides, kuid seal on ka palju teisi porti skannimise tööriistu.
Miks inimesed käivitavad sadamakäske?
Seda tüüpi skaneerimised võivad aidata tuvastada ka mitteseotud sadamates töötavaid teenuseid. Niisiis, kui kasutate pordi 22 asemel SSH-serverit pordis 65001, näitab sadama skaneerimine seda ja ründaja prooviks selle porti ühendada oma SSH-serveriga. Sa ei saa lihtsalt varjata serverit vaikimisi pordiga, et oma süsteemi turvalisemaks muuta, kuigi see muudab serveri raskemini leitavaks.
Ründajad ei kasuta pordi skaneeringuid. Sadama skaneeringud on kasulikud kaitset läbiva läbivaatuse katsetamiseks. Organisatsioon võib oma süsteeme skannida, et otsustada, millised teenused on võrguga kokku puutunud, ning tagada, et need on turvaliselt konfigureeritud.
Ohtlikud on sadama skaneeringud?
Sadamaanalüüs võib aidata ründajal leida nõrk koht rünnata ja siseneda arvutisüsteemi. Kuid see on ainult esimene samm. Lihtsalt sellepärast, et olete leidnud avatud pordi, ei tähenda, et võite seda rünnata. Kuid kui olete leidnud avatud sadama, kus töötab kuulamisteenus, saate seda haavatavuste kohta skannida. See on tõeline oht.
Teie koduvõrgus on teil peaaegu kindlasti ruuter, mis istub teie ja Interneti vahel. Keegi Internetist suudab ainult oma marsruuterit port-skannida ja nad ei leia ruuterist endast võimalikke teenuseid. See ruuter toimib tulemüürina, kui te pole edastanud üksikute portide oma ruuterilt seadmesse, millisel juhul konkureerivad need konkreetsed portid Internetti.
Arvutiserverite ja ettevõtete võrkude jaoks saab tulemüüre konfigureerida, et tuvastada portide skaneerimist ja blokeerida liiklust skaneeritavast aadressist. Kui kõik internetiga kokku puutuvad teenused on turvaliselt konfigureeritud ja neil ei ole teadaolevaid turvaaukusid, ei tohiks portide skaneerimine isegi olla liiga hirmutav.
Sadama skaneerimise tüübid
Kui port on suletud, vastab kaugsüsteem RST-i (lähtestamise) sõnumile. Kui kaugseade lihtsalt ei ole võrgus, pole vastust.
Mõned skannerid teostavad "TCP poolavast" skannimist. Selle asemel, et minna läbi kogu SYN, SYN-ACK ja seejärel ACK-tsükli, saadavad nad lihtsalt SYN-i ja ootavad vastust SYN-ACK või RST-sõnumi. Ühenduse lõpuleviimiseks ei ole vaja saata lõplikku ACK-i, sest SYN-ACK ütleb skannerile kõik, mida ta vajab. See on kiirem, kuna tuleb saata vähem pakette.
Muud tüüpi skaneerimised hõlmavad võõraste saatmist, valesti vormitud paketüüpe ja ootavad, kas kaugsüsteem tagastab RST paketi, mis sulgeb ühenduse.Kui see toimub, siis tean, et skanner teab, et selles asukohas on kaugsüsteem ja see on üks konkreetne port on suletud. Kui paketti ei saa, siis teab skanner, et port peab olema avatud.
Lihtne portide skannimine, kus tarkvara nõuab teavet iga sadama kohta, ükshaaval, on hõlpsasti nähtav. Võrgu tulemüüride saab hõlpsasti konfigureerida seda käitumist tuvastada ja peatama.
Sellepärast töötavad mõned sadama skaneerimise tehnikad erinevalt. Näiteks võib port skannimine skannida väiksemat porti või laiendada portide koguarvule palju pikemat aega, nii et seda oleks raskem avastada.
Sadama skaneerimine on põhiline, leiva ja või turvavõti, kui tegemist on arvutisüsteemide läbitungimisega (ja turvalisusega). Kuid nad on lihtsalt vahend, mis võimaldab ründajatel leida porte, mis võivad olla rünnakute suhtes tundlikud. Nad ei anna ründajale juurdepääsu süsteemile ja turvaliselt konfigureeritud süsteem kindlasti vastutab täieliku port-skannimise eest ilma kahjustamata.
