We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Hvad er portscanning?

Portscanning er en metode til at bestemme, hvilke porte på et netværk der er åbne og kan modtage eller sende data. Det er også en proces for afsendelse af pakker til specifikke porte på en vært og analyse af svar for at identificere sårbarheder. Denne scanningsproces kan ikke finde sted uden at identificere en liste over aktive værter og tilknytte disse værter til deres IP-adresser. Efter en grundig netværksscanning er fuldført, og der er udarbejdet en værtsliste, kan der foretages en korrekt portscanning. Organiseringen af IP-adresser, værter og porte lader scanneren identificere åbne eller sårbare serverplaceringer med det mål at diagnosticere sikkerhedsniveauer.

Disse scanninger afslører tilstedeværelsen af sikkerhed såsom en firewall mellem serveren og brugerens enhed.

Både cyberangreb og administratorer kan bruge disse scanninger til at bekræfte eller kontrollere et netværks sikkerhedspolitikker og identificere sårbarheder – og i angribernes tilfælde udnytte svage adgangspunkter.

De generelle protokoller, der bruges til portscanning, er TCP (Transmission Control Protocol) og UDP (User Datagram Protocol). Begge er metoder til dataoverførsel på internettet, men har forskellige mekanismer. TCP er en pålidelig, forbindelsesbaseret 2-vejsoverførsel af data, der afhænger af destinationens status for at fuldføre en afsendelse. UDP er forbindelsesløs og upålidelig. Dataene sendes uden bekymring for destinationen. Derfor er det ikke garanteret, at dataene nogensinde når den. Der er flere forskellige metoder til at udføre portscanninger ved at bruge disse to protokoller, hvilket forklares i den tekniske sektion herunder.

Hvad er en port?

Computerporte er det centrale dockingpunkt til informationsstrømmen fra et program eller internettet til en enhed eller en anden computer på netværket og omvendt. Det er parkeringspladsen for data, der skal udveksles via elektroniske, softwarebaserede eller programmeringsrelaterede mekanismer. Portnumre bruges til konsistens og programmering. Portnummeret kombineret med en IP-adresse fra de vigtige oplysninger, der gemmes af hver internetudbyder for at fuldføre anmodninger. Porte går fra 0 til 65.536 og rangeres generelt efter popularitet.

Port 0 til 1023 er kendte portnumre, der er designet til internetbrug, selvom de også kan have specialiserede formål. De administreres af IANA (Internet Assigned Numbers Authority). Disse porte ejes af store virksomheder som Apple QuickTime, MSN, SQL-tjenester og andre prominente organisationer. Du genkender måske nogle af de mere prominente porte og deres tilknyttede tjenester:

  • Port 20 (UDP) har File Transfer Protocol (FTP), der bruges til dataoverførsel
  • Port 22 (TCP) har Secure Shell-protokol (SSH) til sikre logins, ftp og omdirigering af port
  • Port 53 (UDP) er det Domain Name System (DNS), som oversætter navne til IP-adresser
  • Port 80 (TCP) er World Wide Web HTTP

Tallene 1.024 til 49.151 betragtes som "registrerede porte", hvilket betyder, at de er registreret af softwarefirmaer. Porte 49.151 til 65.536 er dynamiske og private porte – og kan bruges af nærmest alle.

Hvilken type resultater kan du få fra en portscanning?

Portscanninger rapporterer tilbage til brugeren, hvilket afslører netværkets eller serverens status, der beskrives i én af tre kategorier: åben, lukket eller filtreret.

Åbne porte indikerer:

Destinationsserveren eller -netværket accepterer aktivt forbindelser eller datagrammer og reagerede med en pakke, der indikerer, at den lytter. Den indikerer også, at den tjeneste, der bruges til scanningen (typisk TCP eller UDP), også er i brug. At finde åbne porte er typisk det overordnede mål med portscanninger og en sejr for en cyberkriminel, der leder efter et angrebsområde. Administratorer forsøger at barrikadere disse porte ved at installere firewalls for at beskytte dem uden at begrænse adgangen for legitime brugere.

Lukkede porte indikerer:

Serveren og netværket modtog anmodningen, men der er ikke nogen tjeneste, der "lytter" på den port. En lukket port er stadig tilgængelig og kan være brugbar til at vise, at en vært er på en IP-adresse. Disse porte bør stadig overvåges, da de kan eksponere og skabe sårbarheder. Administratorer bør overveje at blokere dem med en firewall, hvor de derefter bliver til "filtrerede" porte.

Filtrerede porte indikerer:

At der blev sendt en anmodningspakke, men værten svarede ikke og lytter ikke. Dette betyder typisk, at en anmodningspakke blev filtreret væk og/eller blokeret af en firewall. Pakker når ikke deres destinationsplacering, og derfor kan angribere ikke få flere oplysninger. De svarer ofte med fejlbeskeder som "destinationen kan ikke nås" eller "kommunikation forbudt".

Hvad er portscanningsteknikker?

Der er flere forskellige portscanningsteknikker, der sender pakker til destinationer af forskellige årsager.

Nedenfor er der et par stykker af de mange teknikker, og hvordan de virker:

  • De enkleste portscanninger kaldes ping-scanninger. Disse er ICMP-anmodninger (Internet Control Message Protocol). Ping-scanninger sender en automatisk bølge af adskillige ICMP-anmodning til forskellige servere for at lokke svar frem. Administratorer kan bruge denne teknik til at fejlfinde eller deaktivere den ping, som en firewall bruger – hvilket gør det umuligt for dårlige aktorer at finde netværket via pings.
  • En halvåben scanning eller "SYN"-scanning sender kun en SYN-besked (forkortelse for synkroniser) og fuldfører ikke forbindelsen, så målet ikke modtager svar. Det er en hurtig og snedig teknik rettet mod at finde potentielle åbne porte på målenheder.
  • XMAS-scanninger er endnu mere stille og mindre påfaldende. Nogle gang bemærkes FIN-pakker (besked, der betyder "der er ikke flere data tilgængelige fra afsenderen") ikke af firewall, fordi de primært leder efter SYN-pakker. Af denne årsag sender XMAS-scanninger pakker med alle de flag, inkl. FIN, der ikke forventer noget svag, hvilket kan betyde, at porten er åben. Modtagelse af et RST-svar betyder, at porten er lukket. Der er ganske enkelt en snedigere måde at få oplysninger om et netværks beskyttelse og firewall på, da denne scanning sjældent vises i logge.

Hvordan kan cyberkriminelle bruge portscanning som en angrebsmetode?

Iht. SANS Institute er portscanning en af de mest populære taktikker, som cyberangribere bruger, når de søger efter en sårbar server at ramme.

Disse cyberkriminelle bruger ofte portscanning som et indledende trin, når de går efter netværk. De bruger scanningen til at vurdere sikkerhedsniveauerne for forskellige organisationer og afgøre, hvem der har en stærk firewall, og hvem der har en sårbar server eller sårbart netværk. Et antal TCP-protokolteknikker gør det faktisk muligt for angribere at skjule deres netværksplacering og bruge "lokketrafik" for at udføre portscanninger uden at afsløre nogen netværksadresse for målet.

De undersøger netværk og systemer for at se, hvordan hver port vil reagere – åben, lukket eller filtreret. Åbne og lukkede svar advarer hackere om, at dit netværk faktisk er på den modtagende side af scanningen. Disse cyberkriminelle kan derefter bestemme sikkerhedsniveauet, og hvilken type operativsystem din virksomhed har. Portscanning er en gammel teknik, der kræver sikkerhedsændringer og opdateret trusselsviden, da protokoller og sikkerhedsværktøjer ændrer sig på daglig basis. Portscanningsadvarsler og firewall er nødvendige for at overvåge trafik til porte og sikre, at skadelig trafik ikke detekterer dit netværk.