什么是端口扫描?它类似于一个小偷穿过你的邻居,检查每个房子的每个门窗,看看哪些是开放的,哪些是锁定的。
TCP(传输控制协议)和UDP(用户数据报协议)是组成TCP / IP协议套件的两种协议,它通常用于在因特网上通信。每个都有端口0到65535可用,所以基本上有超过65,000门可以锁定。
前1024个TCP端口称为知名端口,并与标准服务(如FTP,HTTP,SMTP或DNS)相关联。 1023中的一些地址也具有通常关联的服务,但是这些端口中的大多数不与任何服务相关联并且可用于用于通信的程序或应用程序。
端口扫描如何工作
端口扫描软件在最基本的状态下,只是顺序发出连接到每个端口上的目标计算机的请求,并记录哪些端口响应或似乎对更深入的探测开放。
如果端口扫描是以恶意目的进行的,那么入侵者通常更愿意不被发现。网络安全应用程序可以配置为在管理员检测到来自单个主机的各种端口的连接请求时向管理员发出警报。为了解决这个问题,入侵者可以在频闪或隐身模式下进行端口扫描。选通将端口限制为较小的目标集,而不是全部扫描所有65536端口。隐形扫描使用诸如减慢扫描等技术。通过在更长的时间段内扫描端口,可以降低目标触发警报的几率。
通过设置不同的TCP标记或发送不同类型的TCP数据包,端口扫描可以生成不同的结果或以不同的方式定位开放端口。 SYN扫描将告诉端口扫描器哪些端口正在侦听,哪些端口不依赖于生成的响应类型。 FIN扫描将从关闭的端口生成响应,但打开和侦听的端口不会发送响应,因此端口扫描程序将能够确定哪些端口是打开的,哪些端口不打开。
有许多不同的方法可以执行实际的端口扫描以及隐藏端口扫描的真正来源的技巧。
如何监控端口扫描
可以监视网络以进行端口扫描。与信息安全中的大多数事情一样,诀窍是在网络性能和网络安全之间找到适当的平衡点。您可以通过记录任何尝试将SYN数据包发送到未打开或正在侦听的端口来监视SYN扫描。然而,不是在每次单次尝试发生时都被警告 - 并且可能在半夜被唤醒以获得其他无辜的错误 - 您应该决定触发警报的阈值。例如,您可能会说,如果在给定的分钟内有非超过10个SYN数据包尝试到非侦听端口,则应触发警报。您可以设计过滤器和陷阱来检测各种端口扫描方法 - 观察FIN数据包中的峰值,或者仅查看来自单个IP源的各种端口和/或IP地址的异常连接尝试次数。
为确保您的网络受到保护和安全,您可能希望执行自己的端口扫描。一个 重大的 这里需要注意的是确保你在开始这个项目之前获得所有权力的批准,以免你发现自己处于法律的错误一边。要获得准确的结果,最好使用非公司设备和不同的ISP从远程位置执行端口扫描。使用Nmap等软件,您可以扫描一系列IP地址和端口,并找出攻击者在端口扫描您的网络时会看到的内容。特别是,NMap允许您控制扫描的几乎每个方面,并执行各种类型的端口扫描以满足您的需求。
一旦您通过端口扫描自己的网络找出哪些端口响应为打开,您就可以开始确定它是否真的 必要 从您的网络外部访问这些端口。如果没有必要,你应该关闭它们或阻止它们。如果它们是必要的,您可以通过使这些端口可访问并开始研究您的网络可能存在的各种漏洞和攻击,并尽可能地应用适当的补丁或缓解措施来保护您的网络。
