We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Vad är portskanning?

Portskanning är en metod för att bestämma vilka portar i ett nätverk som är öppna och kan ta emot eller skicka data. Det är också en process för att skicka paket till specifika portar på en värd och analysera svar för att identifiera sårbarheter. Den här avsökningsprocessen kan inte ske utan att en lista med aktiva värdar identifieras och dessa värdar mappas till deras IP-adresser. När en noggrann nätverksskanning är klar och en värdlista har sammanställts kan en korrekt portskanning äga rum. Organisationen av IP-adresser, värdar och portar gör det möjligt för skannern att korrekt identifiera öppna eller sårbara serverplatser med målet att diagnostisera säkerhetsnivåer.

Dessa skanningar avslöjar förekomsten av säkerhet på plats, till exempel en brandvägg mellan servern och användarens enhet.

Både cyberangripare och administratörer kan använda dessa skanningar för att verifiera eller kontrollera säkerhetspolicyn för ett nätverk och identifiera sårbarheter, och i angriparnas fall utnyttja svaga ingångsportar.

De allmänna protokollen som används för portskanning är TCP (Transmission Control Protocol) och UDP (User Datagram Protocol). De är båda dataöverföringsmetoder på Internet men har olika mekanismer. TCP är en pålitlig, tvåvägsanslutningsbaserad överföring av data som utgår från destinationens status för att slutföra en lyckad sändning. UDP är anslutningslöst och opålitligt. Data skickas utan att bry sig om destinationen. Det är därför inte säkert att alla data klarar det. Det finns flera olika metoder för att utföra portskanningar med dessa två protokoll vilket förklaras i teknikavsnittet nedan.

Vad är en port?

Datorportar är den centrala dockningspunkten för informationsflödet från ett program eller från Internet till en enhet eller annan dator i nätverket och vice versa. Det är parkeringsplatsen för data som ska utbytas via elektroniska mekanismer, programvarumekanismer eller programmeringsrelaterade mekanismer. Portnummer används för konsekvens och programmering. Portnumret kombinerat med en IP-adress utgör den viktiga information som förvaras av varje internetleverantör för att uppfylla förfrågningar. Portarna sträcker sig från 0 till 65 536 och rankas i princip efter popularitet.

Portarna 0 till 1023 är välkända portnummer som är utformade för internetanvändning, även om de också kan ha specialiserade ändamål. De administreras av Internet Assigned Numbers Authority (IANA). Dessa portar innehas av toppföretag som Apple QuickTime, MSN, SQL-tjänster och andra framstående organisationer. Du kanske känner igen några av de mer framträdande portarna och deras tilldelade tjänster:

  • Port 20 (UDP) har File Transfer Protocol (FTP) som används för dataöverföring
  • Port 22 (TCP) har Secure Shell (SSH)-protokoll för säkra inloggningar, ftp och portvidarebefordran
  • Port 53 (UDP) är Domain Name System (DNS) som översätter namnen till IP-adresser
  • Port 80 (TCP) är World Wide Web HTTP

Nummer 1 024 till 49 151 betraktas som ”registrerade portar” vilket betyder att de är registrerade av programvaruföretag. Portarna 49 151 till 65 536 är dynamiska och privata portar som kan användas av nästan alla.

Vilket resultat kan du få efter en portskanning?

Portskanningar rapporterar nätverks- och serverstatus till användaren med en av de tre kategorierna: öppen, stängd eller filtrerad.

Öppna portar indikerar:

Att målservern eller nätverket aktivt accepterar anslutningar eller datagram och svarar med ett paket som anger att det lyssnar. De anger även att tjänsten som används för skanningen (vanligtvis TCP eller UDP) också används här. Att hitta öppna portar är oftast det övergripande målet vid portskanning och en seger för en cyberkriminell som letar efter en attackväg. Administratörer försöker spärra dessa portar genom att installera brandväggar för att skydda dem utan att begränsa åtkomsten för legitima användare.

Stängda portar indikerar:

Att servern eller nätverket tog emot begäran men det finns ingen tjänst som ”lyssnar” på den porten. En stängd port är fortfarande tillgänglig och kan vara användbar för att visa att en värd har en IP-adress. Dessa portar ska fortfarande övervakas eftersom de kan öppnas och skapa sårbarheter. Administratörer bör överväga att blockera dem med en brandvägg där de sedan blir ”filtrerade” portar.

Filtrerade portar indikerar:

Att ett begäranpaket skickades men värden svarade inte och lyssnar inte. Detta innebär oftast att ett begäranpaket filtrerades bort och/eller blockerades av en brandvägg. Paket når inte sin målplats och därför kan angripare inte ta reda på mer information. De svarar ofta med felmeddelanden om att destinationen inte kan nås eller att kommunikation är förbjuden.

Vad är portskanningstekniker?

Det finns flera olika portskanningstekniker som skickar paket till destinationer av olika skäl.

I listan nedan visas några av teknikerna och hur de fungerar:

  • De enklaste portskanningarna kallas pingskanningar. Dessa är ICMP (Internet Control Message Protocol)-förfrågningar. Pingskanningar skickar ut automatiska ICMP-förfrågningar till olika servrar för att få svar. Administratörer kan använda denna teknik för att felsöka eller inaktivera ping genom att använda en brandvägg. Det gör det omöjligt att hitta nätverket via ping.
  • En halvöppen skanning, eller ”SYN”-skanning skickar bara ett SYN-meddelande (förkortning för synkronisering) och slutför inte anslutningen och lämnar målet. Det är en snabb och dold teknik som används för att hitta potentiella öppna portar på målenheter.
  • XMAS-skanningar är ännu tystare och märks ännu mindre. Ibland går FIN-paket (meddelande som betyder att ”ingen mer data är tillgänglig från avsändaren”) obemärkt förbi brandväggar eftersom de oftast letar efter SYN-paket. Därför skickar XMAS-skanningar paket med alla flaggor, inklusive FIN, och förväntar sig inget svar vilket skulle innebära att porten är öppen. Att få ett RST-svar skulle innebära att porten är stängd. Detta är helt enkelt ett snyggare sätt att lära sig mer om ett nätverks skydd och brandvägg eftersom denna skanning sällan visas i loggar.

Hur kan cyberbrottslingar använda portskanning som en attackmetod?

Enligt SANS-institutet är portskanning en av de mest populära taktikerna som används av cyberangripare när de söker efter en sårbar server att ta sig in i.

Dessa cyberbrottslingar använder ofta portskanning som ett första steg när de inriktar sig på ett nätverk. De använder skanningen för att utvidga säkerhetsnivåerna för olika organisationer och fastställa vem som har en stark brandvägg och vem som har en sårbar server eller ett sårbart nätverk. Ett antal TCP-protokolltekniker gör det faktiskt möjligt för angripare att dölja sin nätverksplats och använda ”lockbetestrafik” för att utföra portskanningar utan att avslöja någon nätverksadress till målet.

De undersöker nätverk och system för att se hur varje port reagerar, antingen öppen, stängd eller filtrerad. Öppna och stängda svar varnar hackare om att ditt nätverk faktiskt befinner sig i slutet av skanningen. Dessa cyberbrottslingar kan sedan fastställa säkerhetsnivån och vilken typ av operativsystem ditt företag har. Portskanning är en gammal teknik som kräver säkerhetsändringar och uppdaterad hotinformation eftersom protokoll och säkerhetsverktyg utvecklas dagligen. Portskanningsvarningar och brandväggar är nödvändiga för att övervaka trafik till dina portar och se till att skadlig trafik inte upptäcker ditt nätverk.