We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Co je skenování portů?

Skenování portů je metoda určování, které porty sítě jsou otevřené a mohou přijímat nebo odesílat data. Zároveň se jedná o proces odesílání paketů na specifické porty hostitele a analyzování odpovědí pro účely identifikace zranitelných míst. Tato činnost vychází ze seznamu aktivních hostitelů a jejich IP adres. Skenování portů lze uskutečnit až po důkladném prohledání sítě a sestavení tohoto seznamu. Seznam IP adres, hostitelů a portů umožňuje skenovacímu nástroji řádně identifikovat otevřená či zranitelná místa na serveru ve snaze o stanovení úrovně zabezpečení.

Toto skenování dokáže odhalit přítomnost bezpečnostních prvků, jako je firewall mezi serverem a zařízením uživatele.

Správci dokážou pomocí skenování portů kontrolovat bezpečnostní zásady sítě a identifikovat zranitelná místa. Kybernetičtí útočníci s jeho pomocí zase hledají zneužitelné nedostatky v zabezpečení.

Běžnými protokoly používanými ke skenování portů jsou TCP (transmission control protocol) a UDP (user datagram protocol). Oba slouží k přenosům dat přes internet, ale používají odlišné mechanismy. Protokol TCP umožňuje spolehlivý obousměrný přenos dat na základě připojení, který k úspěšnému odeslání dat vyžaduje určitý stav cíle. Protokol UDP naopak na připojení založený není a je nespolehlivý. Data jsou rovnou odesílána do cíle a nelze zaručit, že se tam dostanou. Tyto dva protokoly lze používat ke skenování portů různými metodami, které jsou vysvětleny v jedné z následujících částí.

Co je port?

Počítačové porty jsou centrální místa, kudy protékají informace z programů či internetu do zařízení a jiných počítačů v síti nebo naopak. Probíhá přes ně výměna dat prostřednictvím elektronických, softwarových nebo programovacích mechanismů. Pro účely souladu a programování jsou porty označené čísly. Číslo portu společně s IP adresou představují nesmírně důležitou informaci, kterou každý poskytovatel internetových služeb uchovává, aby mohl reagovat na požadavky. Porty mohou mít číslo od 0 do 65 536 a v podstatě jsou seřazené podle popularity.

Porty 0 až 1 023 jsou nejznámější a jsou určeny pro internetové použití. Mohou však i mít využití specializované. Spravuje je organizace Internet Assigned Numbers Authority (IANA). Jsou používané velkými a důležitými firmami či organizacemi k poskytování služeb, jako jsou Apple QuickTime, MSN či SQL. Mezi nejdůležitější porty a související služby patří:

  • Port 20 (UDP) využívaný protokolem File Transfer Protocol (FTP) pro účely přenosu dat
  • Port 22 (TCP) využívaný protokolem Secure Shell (SSH) pro účely bezpečného přihlašování, přenosů souborů a přesměrování portů
  • Port 53 (UDP) využívaný systémem Domain Name System (DNS), který překládá názvy IP adres
  • Port 80 (TCP) využívaný protokolem HTTP při prohlížení webu

Porty 1 024 až 49 151 jsou označovány jako registrované, protože si je zaregistrovaly různé softwarové firmy. Porty 49 151 až 65 536 jsou dynamické a soukromé porty, které může používat prakticky kdokoli.

Co lze zjistit pomocí skenování portů?

Nástroj na skenování portů oznamuje svému uživateli stav sítě nebo serveru a informuje, jestli jsou konkrétní porty otevřené, zavřené, nebo filtrované.

Otevřené porty značí:

Cílový server nebo síť aktivně přijímají připojení nebo datagramy a odpověděly paketem, který značí, že poslouchají. To také znamená, že služba použitá při skenování (obvykle TCP nebo UDP) je rovněž používána. Hlavním cílem skenování portů je obvykle najít otevřené porty, které může útočník zneužít k útoku. Správci se snaží tyto porty zatarasit pomocí firewallů, které chrání a zároveň neomezují přístup legitimním uživatelům.

Zavřené porty značí:

Server nebo síť dostaly žádost, ale na daném portu „neposlouchá“ žádná služba. Zavřený port je i nadále přístupný a lze jej použít jako důkaz, že se hostitel nachází na IP adrese. Tyto porty musí být i nadále monitorovány, protože se mohou otevřít a vytvořit tak zranitelná místa. Správci by je měli zablokovat firewallem a udělat z nich tak „filtrované“ porty.

Filtrované porty značí:

Paket žádosti byl odeslán, ale hostitel neodpověděl a neposlouchá. To obvykle znamená, že paket žádosti byl odfiltrován a/nebo zablokován firewallem. Pakety nedorazí do cíle a útočníci se tedy nic nedozvědí. Tyto porty často odpovídají chybovými zprávami jako „cíl je nedostupný“ nebo „komunikace byla zakázána“.

Jaké jsou techniky skenování portů?

Existuje několik různých technik skenování portů, které umožňují z různých důvodů odesílat pakety do cílových umístění.

Níže jsou popsány principy několika z mnoha používaných technik:

  • Nejjednodušší způsobem skenování portů je takzvané pingování, jinými slovy posílání požadavků přes protokol ICMP (internet control message protocol). Pomocí pingování je různým serverům automaticky rozesílána velká skupina několika ICMP požadavků. Správci mohou touto technikou řešit problémy nebo pomocí firewallu zablokovat pingování, aby útočníci nedokázali najít jejich síť.
  • Napolo otevřené skenování nebo SYN skenování jen posílá SYN (synchronizační) zprávy, ale spojení s cílem nedokončí. Jedná se o rychlou a plíživou techniku, jejímž cílem je najít na cílových zařízeních potenciálně otevřené porty.
  • XMAS skenování je ještě tišší a méně postřehnutelné. FIN pakety (zprávy sdělující, že od odesílatele nejsou k dispozici žádná další data) občas projdou firewally bez povšimnutí, protože ty hledají především SYN pakety. XMAS skenování proto odesílají pakety se všemi příznaky včetně FIN a neočekávají žádnou odpověď, což by mohlo znamenat, že je port otevřený. Když přijde odpověď RST, znamená to, že je port zavřený. Tímto způsobem lze plíživěji zjišťovat ochranu sítě a firewall, protože jej ochranné mechanismy jen zřídka zaznamenají.

Jak kybernetičtí zločinci používají skenování portů k útokům?

Podle institutu SANS představuje skenování portů jednu z nejpoužívanějších taktik, které kybernetičtí zločinci používají ke hledání zranitelných serverů.

Skenování portů obvykle bývá prvním krokem útoku na síť. Útočníci s jeho pomocí zjišťují úrovně zabezpečení různých organizací, aby mohli zjistit, kdo má silný firewall a kdo může mít zranitelný server nebo síť. Řada technik využívajících protokol TCP umožňuje útočníkům skrývat své umístění v síti a maskovat skenování portů a síťovou adresu jeho cíle jinými datovými přenosy.

Útočníci „oťukávají“ sítě a systémy, aby zjistili, jak reagují jednotlivé porty – jestli jsou otevřené, zavřené, nebo filtrované. Odpovědi otevřených a zavřených portů upozorňují hackery, že vaše síť ve skutečnosti reaguje na skenování portů. Kybernetičtí útočníci na základě těchto odpovědí dokážou určit úroveň zabezpečení a typ používaného operačního systému ve firmě. Skenování portů je stará technika. Pokud se před ním chcete chránit, musíte odpovídajícím způsobem změnit zabezpečení a mít k dispozici aktuální informace o hrozbách, protože se protokoly a bezpečnostní nástroje neustále vyvíjejí. Ke sledování datového toku na vaše porty a ke skrývání vaší sítě před zraky zločinců jsou potřeba upozornění na skenování portů a firewally.