HTG מסביר מהו סריקת פורט?
סריקה הנמל הוא קצת כמו צחקוק חבורה של הדלתות כדי לראות אילו דלתות נעולות. הסורק לומד אילו יציאות בנתב או בחומת אש פתוחות, ויכולים להשתמש במידע זה כדי לאתר חולשות פוטנציאליות של מערכת המחשב.
מה זה נמל?
כאשר התקן מתחבר להתקן אחר ברשת, הוא מציין מספר יציאת TCP או UDP מ -0 עד 65535. עם זאת, חלק מהיציאות משמשות לעתים קרובות יותר. יציאות TCP 0 עד 1023 הן "יציאות ידועות" המספקות שירותי מערכת. לדוגמה, יציאה 20 היא העברות קבצים מסוג FTP, יציאה 22 היא חיבורי מסוף מאובטחים (SSH), יציאת 80 היא תעבורת HTTP אינטרנטית סטנדרטית, ויציאה 443 מוצפנת HTTPS. לכן, כאשר אתה מתחבר לאתר מאובטח, דפדפן האינטרנט שלך מדבר לשרת האינטרנט שמקשיב ביציאה 443 של השרת.
שירותים לא תמיד צריך לרוץ על אלה יציאות ספציפיות. לדוגמה, באפשרותך להפעיל שרת אינטרנט של HTTPS ביציאה 32342 או בשרת Secure Shell ביציאה 65001, אם אתה אוהב. אלה הן רק ברירות המחדל הרגילות.
מה זה סריקה פורט?
סריקת יציאה היא תהליך של בדיקת כל היציאות בכתובת IP כדי לראות אם הן פתוחות או סגורות. התוכנה סריקה יציאת לבדוק יציאת 0, יציאה 1, יציאה 2, ואת כל הדרך עד ליציאה 65535. זה עושה את זה פשוט על ידי שליחת בקשה לכל יציאה ולבקש תגובה. בצורתו הפשוטה ביותר, תוכנת סריקה הנמל שואל על כל נמל, אחד בכל פעם. המערכת המרוחקת תגיב ותאמר אם יציאה פתוחה או סגורה. האדם המפעיל את סריקת הנמל ידע אז אילו יציאות פתוחות.
כל חומת אש של הרשת בדרך עלולה לחסום או להפיל את התנועה בצורה אחרת, ולכן סריקת יציאה היא גם שיטה של איתור אילו יציאות ניתנות להשגה, או חשופות לרשת, באותה מערכת מרוחקת.
כלי nmap הוא כלי רשת נפוץ המשמש ליציאה סריקה, אבל יש רבים אחרים כלי סריקה הנמל.
למה אנשים להפעיל סריקות?
סריקות Port שימושיות לקביעת פגיעויות המערכת. יציאת סריקה תספר לתוקף אילו יציאות פתוחות במערכת, וזה יעזור להם לגבש תוכנית התקפה. לדוגמה, אם שרת Secure Shell (SSH) זוהה כהאזנה ביציאה 22, התוקף עלול לנסות להתחבר ולבדוק סיסמאות חלשות. אם סוג אחר של שרת מקשיב ליציאה אחרת, התוקף יכול לתקוע בו ולראות אם יש באג שניתן לנצל. אולי גרסה ישנה של התוכנה פועלת, ויש חור אבטחה ידוע.
סוגים אלה של סריקות יכולים גם לסייע באיתור שירותים הפועלים ביציאות שאינן ברירת מחדל. לכן, אם אתה מפעיל שרת SSH ביציאה 65001 במקום ביציאה 22, יציאת הסריקה תגלה זאת, והתוקף יוכל לנסות להתחבר לשרת ה- SSH שלך ביציאה זו. אתה לא יכול רק להסתיר שרת על יציאת ברירת המחדל לאבטח את המערכת שלך, אם כי זה עושה את השרת קשה יותר למצוא.
סריקות פורט אינן משמשות רק את התוקפים. סריקות הנמל שימושיות עבור בדיקה חודרת הגנתית. ארגון יכול לסרוק את המערכות שלו כדי לקבוע אילו שירותים חשופים לרשת ולוודא שהם מוגדרים בצורה מאובטחת.
כמה מסוכנים הם סריקות נמל?
סריקת יציאה יכולה לסייע לתוקף למצוא נקודת תורפה להתקפה ולפרוץ למערכת מחשב. אבל זה רק הצעד הראשון. רק בגלל שמצאת נמל פתוח לא אומר שאתה יכול לתקוף אותו. עם זאת, לאחר שמצאתם נמל פתוח המפעיל שירות האזנה, ניתן לסרוק אותו עבור נקודות תורפה. זאת הסכנה האמיתית.
ברשת הביתית שלך, אתה כמעט בטוח יש נתב יושב בינך לבין האינטרנט. מישהו באינטרנט יוכל רק לסרוק את הנתב שלך, והם לא ימצאו שום דבר מלבד שירותים פוטנציאליים על הנתב עצמו. הנתב פועל כחומת אש - אלא אם כן העברת את היציאות הפרטיות מהנתב שלך למכשיר, ובמקרה כזה היציאות הספציפיות הללו חשופות לאינטרנט.
עבור שרתי מחשבים ורשתות ארגוניות, ניתן להגדיר תצורה של חומות אש כדי לזהות סריקות יציאה ולחסום תנועה מהכתובת הנמצאת בסריקה. אם כל השירותים שנחשפו לאינטרנט מוגדרים היטב ואין להם חורי אבטחה ידועים, סריקות הנמל לא צריכות להיות מפחידות מדי.
סוגי סריקות נמל
בחיבור "TCP חיבור מלא" לסריקה, הסורק שולח הודעת SYN (בקשה לחיבור) ליציאה. אם היציאה פתוחה, המערכת המרוחקת מגיבה עם הודעת SYN-ACK (הכרה). הסורק מאשר מגיב עם הודעת ACK משלו. זהו לחיצת יד מלאה של TCP, והסורק יודע שהמערכת מקבלת חיבורים ביציאה אם תהליך זה מתרחש.
אם היציאה סגורה, המערכת המרוחקת תגיב בהודעת RST (איפוס). אם המערכת המרוחקת אינה קיימת ברשת, לא תהיה תגובה.
סורקים מסוימים לבצע "TCP חצי פתוח" סריקה. במקום לעבור SYN מלא, SYN-ACK, ולאחר מכן ACK מחזור, הם פשוט לשלוח SYN ולחכות הודעת SYN-ACK או RST בתגובה. אין צורך לשלוח ACK הסופי כדי להשלים את החיבור, כמו SYN-ACK יספר את הסורק כל מה שהוא צריך לדעת. זה מהיר יותר כי מנות פחות צריך להישלח.
סוגים אחרים של סריקות כרוכים בשליחת סוגי מנות זרות ומנות וממתינות כדי לראות אם המערכת המרוחקת מחזירה מנות RST סוגרת את החיבור. אם כן, הסורק יודע שיש מערכת מרוחקת במיקום זה, ויציאה אחת זו סגורה. אם לא התקבלה מנות, הסורק יודע שהיציאה חייבת להיות פתוחה.
פשוט, יציאת סריקה שבו התוכנה בקשות מידע על כל נמל, אחד אחד, קל לזהות. ניתן להגדיר בקלות חומות אש של הרשת כדי לזהות ולהפסיק את ההתנהגות הזו.
לכן כמה טכניקות סריקת נמל פועלות אחרת. לדוגמה, סריקת יציאה יכולה לסרוק טווח קטן יותר של יציאות, או לסרוק את כל טווח היציאות לאורך תקופה ארוכה יותר, כך שיהיה קשה יותר לאתר.
סריקות הנמל הן כלי אבטחה בסיסי, לחם וחמאה בכל הנוגע למערכות מחשב חודרות (ואבטחה). אבל הם רק כלי המאפשר לתוקפים למצוא יציאות שעשויות להיות חשופות להתקפה. הם לא נותנים גישה לתוקף למערכת, ומערכת מאובטחת בהחלט יכולה לעמוד בפני סריקה מלאה של הנמל ללא כל נזק.
תמונה אשראי: xfilephotos / Shutterstock.com, רעיון Casezy / Shutterstock.com.