Co to są porty i numery portów?

Porty komputera to centralny punkt przepływu informacji z programu lub Internetu do urządzenia lub innego komputera w sieci i w odwrotnym kierunku. To „parking” dla danych wymienianych za pośrednictwem układów elektronicznych, oprogramowania lub mechanizmów związanych z programowaniem.

Numery portów są używane do zapewnienia spójności i do programowania. Numer portu w połączeniu z adresem IP to istotna informacja przechowywana przez każdego dostawcę usług internetowych w celu realizacji żądań. Porty mają numery od 0 do 65 536 i zasadniczo są klasyfikowane według popularności.

Porty od 0 do 1023 to dobrze znane porty przeznaczone do celów związanych z Internetem, chociaż mogą mieć także specjalne przeznaczenie. Są one administrowane przez organizację Internet Assigned Numbers Authority (IANA). Porty te są przypisane do firm z górnej półki, takich jak Apple QuickTime, MSN, usługi SQL i inne znane organizacje. Być może rozpoznajesz kilka bardziej znanych portów oraz przypisane do nich usługi:

• do portu 20 (UDP) przypisany jest protokół FTP (File Transfer Protocol) używany do przesyłania danych;
• do portu 22 (TCP) przypisany jest protokół SSH (Secure Shell) wykorzystywany do bezpiecznego logowania, usług FTP i przekierowania portów;
• do portu 53 (UDP) przypisano system nazw domen DNS (Domain Name System), który tłumaczy nazwy na adresy IP;
• do portu 80 (TCP) przypisany jest protokół internetowy HTTP.

Numery od 1024 do 49 151 traktuje się jako porty zastrzeżone, co oznacza, że są one zastrzeżone przez korporacje produkujące oprogramowanie. Porty od 49 151 do 65 536 to porty dynamiczne i prywatne — może ich używać niemal każdy.

Jakie protokoły są używane podczas skanowania portów?

Protokoły zwykle używane do skanowania portów to TCP (Transmission Control Protocol) oraz UDP (User Datagram Protocol). Obydwa stanowią metody transmisji danych dla Internetu, jednak mają inne mechanizmy.

Protokół TCP to niezawodna, dwukierunkowa transmisja danych oparta na połączeniu, która wykorzystuje stan miejsca docelowego. Protokół UDP jest natomiast bezpołączeniowy i zawodny. W przypadku protokołu UDP dane są wysyłane bez uwzględniania stanu miejsca docelowego, więc nie ma gwarancji, że w ogóle do niego dotrą.

Używając tych dwóch protokołów, można korzystać z kilku różnych technik skanowania portów.

Jakie istnieją techniki skanowania portów?

Istnieje kilka technik skanowania portów, które służą do różnych celów. Należy pamiętać, że cyberprzestępcy wybierają konkretną technikę skanowania portów w zależności od celu lub strategii ataku.

Poniżej wymieniamy kilka technik i opisujemy sposoby ich działania:

• Skanowanie typu ping: Najprostsze skanowanie portów to skanowanie typu ping. Polecenia ping używa się w sieci do sprawdzania, czy można dostarczyć pakiet danych sieciowych do adresu IP bez błędów. Skanowanie typu ping polega na użyciu żądań protokołu ICMP (Internet Control Message Protocol) — wysyłana jest automatyczna seria kilku żądań ICMP do różnych serwerów, co ma na celu sprowokowanie odpowiedzi. Administratorzy IT mogą korzystać z tej techniki do rozwiązywania problemów lub wyłączyć skanowanie typu ping przy użyciu zapory ogniowej, co uniemożliwia przestępcom znalezienie sieci za pomocą poleceń ping.
• Skanowanie półotwarte lub SYN: Skanowanie półotwarte lub SYN (skrót od słowa „synchronize”) to taktyka używana przez atakujących do określenia stanu portu bez nawiązania pełnego połączenia. Przy tego typu skanowaniu wysyłany jest tylko komunikat SYN — połączenie nie jest realizowane, a odbiorca pozostaje w zawieszeniu. Ta szybka i podstępna technika ma na celu znalezienie potencjalnych otwartych portów w docelowych urządzeniach.
• Skanowanie XMAS: Skanowanie XMAS jest jeszcze cichsze, przez co zapory ogniowe mają problem z jego wykryciem. Na przykład pakiety FIN są zazwyczaj wysyłane z serwera lub klienta w celu zakończenia połączenia po ustanowieniu trójstopniowego uzgodnienia protokołu TCP i udanym przekazaniu danych, co jest sygnalizowane komunikatem „nadawca nie udostępnia już żadnych danych”. Zapory ogniowe często nie wykrywają pakietów FIN, ponieważ poszukują głównie pakietów SYN. Z tego względu przy skanowaniu XMAS wysyłane są pakiety ze wszystkimi flagami — w tym FIN — bez oczekiwania na odpowiedź, która oznaczałaby, że port jest otwarty. W przypadku zamkniętego portu otrzymana zostałaby odpowiedź RST. Skanowanie XMAS rzadko pojawia się w dziennikach monitorowania; to podstępny sposób na zapoznanie się z zabezpieczeniami sieci i zaporą ogniową.

Jakiego rodzaju wyniki daje skanowanie portów?

Wyniki skanowania portów informują o stanie sieci lub serwera i dzielą się na trzy kategorie: otwarte, zamknięte lub filtrowane.

• Otwarte porty: Otwarte porty oznaczają, że docelowy serwer lub docelowa sieć aktywnie przyjmują połączenia lub datagramy i w odpowiedzi nadały pakiet wskazujący, że nasłuchują. Ponadto informacja ta oznacza, że używana jest także usługa wykorzystywana do skanowania (zwykle protokół TCP lub UDP).
  Znalezienie otwartych portów to zazwyczaj nadrzędny cel skanowania portów, a przy tym sukces dla cyberprzestępcy szukającego drogi do przeprowadzenia ataku. Administratorzy IT próbują „barykadować” otwarte porty, instalując zapory ogniowe w celu zabezpieczenia ich bez ograniczania dostępu dla uprawnionych użytkowników.
• Zamknięte porty: Zamknięte porty wskazują, że serwer lub sieć otrzymały żądanie, ale na danym porcie nie ma nasłuchiwania usług. Mimo to do zamkniętego portu można uzyskać dostęp i może być on przydatny jako wskazówka, że pod określonym adresem IP znajduje się host. Administratorzy IT powinni monitorować zamknięte porty, ponieważ mogą one zostać otwarte, a tym samym stanowić potencjalne luki. Należy rozważyć zablokowanie zamkniętych portów przy użyciu zapory ogniowej w celu zapewnienia filtrowania.
• Filtrowane porty: Filtrowane porty wskazują, że wysłano pakiet żądania, ale host nie odpowiedział i nie nasłuchuje. Zwykle oznacza to, że pakiet żądania został odfiltrowany lub zablokowany przez zaporę ogniową. Jeśli pakiety nie docierają do miejsca docelowego, atakujący nie mogą uzyskać szczegółowych informacji. Filtrowane porty często generują w odpowiedzi komunikaty o błędzie „odbiorca nieosiągalny” lub „zakaz komunikacji”.

W jaki sposób cyberprzestępcy mogą wykorzystać skanowanie portów jako metodę ataku?

Według SANS Institute skanowanie portów to jedna z najpopularniejszych taktyk stosowanych przez atakujących, którzy szukają serwerów podatnych na naruszenie zabezpieczeń.

Osoby te często stosują skanowanie portów jako wstępny etap wyznaczania sieci jako celów ataku. Przy użyciu skanowania portów mogą badać poziomy zabezpieczeń różnych organizacji i określać, kto ma silną zaporę ogniową, a kto może mieć serwery lub sieci podatne na zagrożenia. Wiele technik wykorzystujących protokół TCP w rzeczywistości umożliwia atakującym ukrycie ich lokalizacji w sieci oraz użycie ruchu jako przynęty w celu skanowania portów bez ujawniania odbiorcy adresu sieciowego.

Badają oni sieci i systemy, aby sprawdzić, jak zareagują poszczególne porty — czy będą otwarte, zamknięte, czy filtrowane.

Na przykład odpowiedzi wskazujące na stan otwarty lub zamknięty informują hakerów, że dana sieć faktycznie jest przedmiotem skanowania. Następnie mogą oni określić typ systemu operacyjnego i poziom zabezpieczeń.

Skanowane portów to stara technika, w przypadku której niezbędne są zmiany zabezpieczeń oraz aktualne mechanizmy analizy zagrożeń, co wynika z ciągłej ewolucji protokołów i narzędzi zabezpieczających. Należy korzystać z zapór ogniowych i alertów dotyczących skanowania portów w celu monitorowania ruchu docierającego do portów oraz uniemożliwienia atakującym zidentyfikowania potencjalnych okazji do uzyskania nieautoryzowanego dostępu do sieci.