什麼是端口掃描? 它類似於小偷穿過你的鄰居,檢查每個房屋的每扇門和窗戶,看看哪些房子是開放的,哪些是鎖定的。
TCP ( 傳輸控制協議 )和UDP (用戶數據報協議)是構成在因特網上通用的TCP / IP協議套件的兩種協議。 其中每一個都有端口 0到65535,所以基本上有超過65,000個門可以鎖定。
前1024個TCP端口稱為知名端口,並與標準服務(如FTP,HTTP, SMTP或DNS)相關聯 。 1023以上的一些地址也具有通常相關的服務,但大多數這些端口不與任何服務關聯,並且可供程序或應用程序用於通信。
端口掃描如何工作
端口掃描軟件在其最基本的狀態下,只是發出一個請求,以連接到每個端口上的目標計算機,並記下哪些端口已響應或似乎開放以進行更深入的探測。
如果端口掃描是用惡意的意圖完成的,入侵者通常更喜歡不被發現。 網絡安全應用程序可以配置為在管理員檢測到來自單個主機的廣泛端口上的連接請求時發出警報。 為了解決這個問題,入侵者可以在頻閃或隱藏模式下進行端口掃描。 頻閃將端口限制為較小的目標集而不是全部掃描全部65536個端口。 隱形掃描使用諸如減慢掃描的技術。 通過長時間掃描端口,可以降低目標觸發警報的機率。
通過設置不同的TCP標誌或發送不同類型的TCP數據包,端口掃描可以生成不同的結果或以不同方式查找打開的端口。 SYN掃描將告訴端口掃描器哪些端口正在偵聽,哪些不依賴於生成的響應類型。 FIN掃描將從封閉的端口生成響應 - 但是打開並偵聽的端口不會發送響應,因此端口掃描器將能夠確定哪些端口是開放的,哪些不是。
有許多不同的方法來執行實際的端口掃描以及隱藏端口掃描的真實來源的技巧。 您可以通過訪問這些網站閱讀更多關於其中的一些內容:端口掃描或網絡探針解釋。
如何監視端口掃描
可以監視您的網絡以進行端口掃描。 與信息安全中的大多數事情一樣,訣竅就是在網絡性能和網絡安全之間找到適當的平衡點。 您可以通過記錄任何嘗試將SYN數據包發送到未打開或正在偵聽的端口來監視SYN掃描。 但是,不是每次發生單次嘗試時都會收到警報 - 並且可能會在深夜中因無法識別的錯誤而被喚醒 - 您應該決定觸發警報的閾值。 例如,您可能會說,如果在給定的分鐘內有非超過10個的SYN數據包嘗試通過非偵聽端口觸發警報。 您可以設計過濾器和陷阱來檢測各種端口掃描方法 - 監視FIN數據包中的峰值,或者只是從單個IP源異常連接到各種端口和/或IP地址 。
為了確保您的網絡得到保護和安全,您可能希望執行自己的端口掃描。 這裡的一個主要警告是確保你在開始這個項目之前獲得所有權力的認可,以免發現自己在法律的錯誤一面。 要獲得準確的結果,最好使用非公司設備和不同的ISP從遠程位置執行端口掃描。 使用NMap等軟件,您可以掃描一系列IP地址和端口,並找出攻擊者在端口掃描您的網絡時會看到的內容。 特別是,NMap允許您控制掃描的幾乎每個方面,並執行各種類型的端口掃描以滿足您的需求。
一旦通過端口掃描您自己的網絡發現端口響應為開放端口,您就可以開始確定從網絡外部訪問這些端口是否確實需要這些端口。 如果他們沒有必要,你應該關閉他們或阻止他們。 如果有必要,您可以開始研究通過讓這些端口可訪問,並開始應用適當的修補程序或緩解來盡可能保護您的網絡,哪些漏洞和漏洞可用於您的網絡。