We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Co to jest skanowanie portów?

Skanowanie portów to metoda ustalania, które porty w sieci są otwarte i mogą otrzymywać lub wysyłać dane. Jest to także proces wysyłania pakietów do określonych portów na hoście i analizowania odpowiedzi w celu określenia luk w zabezpieczeniach. Ten proces skanowania nie może się odbyć bez określenia listy aktywnych hostów i mapowania tych hostów na ich adresy IP. Po dogłębnym skanowaniu sieci i przygotowaniu listy hostów można wykonać właściwe skanowanie portów. Zorganizowanie adresów IP, hostów i portów umożliwia skanerowi prawidłowe określenie otwartych lub narażonych lokalizacji serwera w celu zdiagnozowania poziomów zabezpieczeń.

Takie skanowanie ujawnia zastosowane zabezpieczenia, takie jak zapora ogniowa między serwerem i urządzeniem użytkownika.

Zarówno cyberprzestępcy, jak i administratorzy mogą używać takiego skanowania w celu zweryfikowania lub sprawdzenia zasad zabezpieczeń sieci oraz zidentyfikowania luk w zabezpieczeniach. W przypadku osoby atakującej pozwala to na wykorzystanie słabych punktów wejścia.

Protokoły zwykle używane do skanowania portów to TCP (Transmission Control Protocol) oraz UDP (User Datagram Protocol). Obydwa stanowią metody transmisji danych dla Internetu, jednak mają inne mechanizmy. Protokół TCP to niezawodna, dwukierunkowa transmisja danych oparta na połączeniu, w której do wysyłania danych wykorzystuje się stan miejsca docelowego. Protokół UDP nie uwzględnia połączenia i jest zawodny. Dane są wysyłane bez uwzględniania stanu miejsca docelowego, więc nie ma gwarancji, że w ogóle dotrą tam, gdzie powinny. Istnieje kilka różnych metod skanowania portów przy użyciu tych dwóch protokołów. Zostaną one wyjaśnione poniżej w sekcjach dotyczących technik.

Co to jest port?

Porty komputera to centralny punkt przepływu informacji z programu lub Internetu do urządzenia lub innego komputera w sieci i w odwrotnym kierunku. To „parking” dla danych wymienianych poprzez układy elektroniczne, oprogramowanie lub przy użyciu mechanizmów związanych z programowaniem. Numery portów są używane do zapewnienia spójności i do programowania. Numer portu w połączeniu z adresem IP to istotna informacja przechowywana przez każdego dostawcę usług internetowych w celu realizacji żądań. Porty mają numery od 0 do 65 536 i zasadniczo są klasyfikowane według popularności.

Porty od 0 do 1023 to dobrze znane porty przeznaczone do celów związanych z Internetem, chociaż mogą mieć także specjalne przeznaczenie. Są one administrowane przez organizację Internet Assigned Numbers Authority (IANA). Porty te są przypisane do firm z górnej półki, takich jak Apple QuickTime, MSN, usługi SQL i inne znane organizacje. Być może rozpoznajesz kilka bardziej znanych portów oraz przypisane do nich usługi:

  • do portu 20 (UDP) przypisany jest protokół FTP (File Transfer Protocol) używany do przesyłania danych;
  • do portu 22 (TCP) przypisany jest protokół SSH (Secure Shell) wykorzystywany do bezpiecznego logowania, usług FTP i przekierowania portów;
  • do portu 53 (UDP) przypisano system nazw domen DNS (Domain Name System), który tłumaczy nazwy na adresy IP;
  • do portu 80 (TCP) przypisany jest protokół internetowy HTTP.

Numery od 1024 do 49 151 traktuje się jako porty zastrzeżone, co oznacza, że są one zastrzeżone przez korporacje produkujące oprogramowanie. Porty od 49 151 do 65 536 to porty dynamiczne i prywatne — może ich używać niemal każdy.

Jakiego rodzaju wyniki daje skanowanie portów?

Skanowanie portów ujawnia użytkownikowi stan sieci lub serwera należący do jednej z trzech kategorii: otwarty, zamknięty lub filtrowany.

O czym informują porty otwarte:

Docelowy serwer lub docelowa sieć aktywnie przyjmują połączenia lub datagramy i w odpowiedzi nadały pakiet wskazujący, że nasłuchują. Ponadto informacja ta oznacza, że używana jest także usługa wykorzystywana do skanowania (zwykle protokół TCP lub UDP). Znalezienie otwartych portów to zazwyczaj nadrzędny cel skanowania portów, a przy tym sukces dla cyberprzestępcy szukającego drogi do przeprowadzenia ataku. Administratorzy próbują „barykadować” takie porty, instalując zapory ogniowe w celu ochrony portów bez ograniczania dostępu dla uprawnionych użytkowników.

O czym informują porty zamknięte:

Serwer lub sieć otrzymały żądanie, ale na danym porcie nie ma nasłuchiwania usług. Mimo to do zamkniętego portu można uzyskać dostęp i może być on przydatny jako wskazówka, że pod określonym adresem IP znajduje się host. Porty te powinny być także monitorowane, ponieważ mogą zostać otwarte, co stwarza luki w zabezpieczeniach. Administratorzy powinni rozważyć blokowanie takich portów przy użyciu zapory ogniowej, która sprawia, że porty te stają się filtrowane.

O czym informują porty filtrowane:

Informacja ta wskazuje, że wysłano pakiet żądania, ale host nie odpowiedział i nie nasłuchuje. Zwykle oznacza to, że pakiet żądania został odfiltrowany lub zablokowany przez zaporę ogniową. Pakiety nie docierają do miejsca docelowego i w związku z tym osoby podejmujące atak nie mogą uzyskać żadnych dodatkowych informacji. Często w odpowiedzi generowane są komunikaty o błędzie „odbiorca nieosiągalny” lub „zakaz komunikacji”.

Jakie są techniki skanowania portów?

Z różnych powodów istnieje kilka technik skanowania portów polegających na wysyłaniu pakietów do miejsc docelowych.

Poniżej wymieniono i opisano kilka spośród wielu technik:

  • Najprostsze skanowanie portów to skanowanie typu ping. Polega ono na użyciu żądań protokołu ICMP (Internet Control Message Protocol). Podczas skanowania typu ping wysyłana jest automatyczna seria kilku żądań ICMP do różnych serwerów, co ma na celu sprowokowanie odpowiedzi. Administratorzy mogą korzystać z tej techniki do rozwiązywania problemów albo wyłączają polecenie ping przy użyciu zapory ogniowej — co uniemożliwia przestępcom znalezienie sieci za pomocą poleceń ping.
  • Przy skanowaniu półotwartym (typu „SYN”) wysyłany jest tylko komunikat SYN (skrót od słowa „synchronize”) i połączenie nie jest realizowane, a odbiorca pozostaje w zawieszeniu. Ta szybka i podstępna technika ma na celu znalezienie potencjalnych otwartych portów w docelowych urządzeniach.
  • Skanowanie XMAS jest jeszcze cichsze i mniej zauważalne. Czasem zapory ogniowe nie wykrywają pakietów FIN (komunikatów oznaczających, że „nadawca nie udostępnia już żadnych danych”), ponieważ szukają przede wszystkim pakietów SYN. Z tego względu przy skanowaniu XMAS wysyłane są pakiety ze wszystkimi flagami, w tym FIN, bez oczekiwania na odpowiedź, która oznaczałaby, że port jest otwarty. Odebranie odpowiedzi RST oznaczałoby, że port jest zamknięty. To zatem bardziej podstępny sposób na uzyskanie informacji o zabezpieczeniach sieci i zaporze ogniowej, ponieważ takie skanowanie rzadko jest wykazywane w dziennikach.

W jaki sposób cyberprzestępcy mogą wykorzystać skanowanie portów jako metodę ataku?

Według SANS Institute skanowanie portów to jedna z najpopularniejszych taktyk cyberprzestępców szukających serwerów podatnych na naruszenie zabezpieczeń.

Osoby te często stosują skanowanie portów jako wstępny etap wyznaczania sieci jako celów ataku. Przy użyciu skanowania przestępcy mogą badać poziomy zabezpieczeń różnych organizacji i określać, kto ma silną zaporę ogniową, a kto może mieć serwery lub sieci podatne na zagrożenia. Wiele technik wykorzystujących protokół TCP w rzeczywistości umożliwia atakującym ukrycie ich lokalizacji w sieci oraz użycie ruchu jako przynęty w celu skanowania portów bez ujawniania odbiorcy adresu sieciowego.

Stosując takie techniki, bada się sieci i systemy, aby sprawdzić, jak zareagują poszczególne porty — czy będą otwarte, zamknięte, czy filtrowane. Odpowiedzi wskazujące na stan otwarty lub zamknięty informują hakerów, że dana sieć faktycznie znajduje się w odbiorczym punkcie końcowym skanowania. Następnie przestępcy mogą określić poziom zabezpieczeń oraz typ systemu operacyjnego w firmie. Skanowane portów to stara technika, wobec której niezbędne są zmiany zabezpieczeń oraz aktualne mechanizmy analizy zagrożeń, co wynika z ciągłej ewolucji protokołów i narzędzi zabezpieczających. Ostrzeżenia dotyczące skanowania portów oraz zapory ogniowe są konieczne do monitorowania ruchu docierającego do portów oraz zapewnienia, że złośliwy ruch nie wykryje danej sieci.