Portskanning är en metod för att bestämma vilka portar i ett nätverk som är öppna och kan ta emot eller skicka data. Det är också en process för att skicka paket till specifika portar på en värd och analysera svar för att identifiera sårbarheter.
Den här skanningsprocessen kan inte ske utan att en lista med aktiva värdar identifieras och dessa värdar mappas till deras IP-adresser. Denna aktivitet startar med en nätverksskanning.
Målet bakom port- och nätverksskanning är att identifiera organisationen av IP-adresser, värdar och portar för att korrekt identifiera öppna eller sårbara serverplatser med målet att diagnostisera säkerhetsnivåer. Både nätverks- och portskanning avslöjar förekomsten av säkerhet på plats, till exempel en brandvägg mellan servern och användarens enhet.
När en noggrann nätverksskanning har utförts och en lista över aktiva värdar har sammanställts kan portskanning utföras för att identifiera öppna portar i ett nätverk som kan möjliggöra obehörig åtkomst.
Det är viktigt att notera att nätverks- och portskanning kan användas av både IT-administratörer och cyberbrottslingar för att verifiera eller kontrollera säkerhetspolicyn för nätverk och identifiera sårbarheter, och i angriparnas fall för att utnyttja eventuella svaga ingångsportar. Faktum är att element som upptäcks i nätverksskanning ofta är det första steget som används av angripare innan de utför en attack.
Eftersom båda skanningarna fortsätter att användas som viktiga verktyg för angripare kan resultaten av nätverks- och portskanning ge viktiga indikationer på nätverkssäkerhetsnivåer för IT-administratörer som försöker skydda nätverk mot attacker.
Vad är portar och portnummer?
Datorportar är den centrala dockningspunkten för informationsflödet från ett program eller från Internet till en enhet eller annan dator i nätverket och vice versa. Det är parkeringsplatsen för data som ska utbytas via elektroniska mekanismer, programvarumekanismer eller programmeringsrelaterade mekanismer.
Portnummer används för konsekvens och programmering. Portnumret kombinerat med en IP-adress utgör den viktiga information som förvaras av varje internetleverantör för att uppfylla förfrågningar. Portarna sträcker sig från 0 till 65 536 och rankas i princip efter popularitet.
Portarna 0 till 1023 är välkända portnummer som är utformade för internetanvändning, även om de också kan ha specialiserade ändamål. De administreras av Internet Assigned Numbers Authority (IANA). Dessa portar innehas av toppföretag som Apple QuickTime, MSN, SQL-tjänster och andra framstående organisationer. Du kanske känner igen några av de mer framträdande portarna och deras tilldelade tjänster:
- Port 20 (UDP) har File Transfer Protocol (FTP) som används för dataöverföring
- Port 22 (TCP) har Secure Shell (SSH)-protokoll för säkra inloggningar, ftp och portvidarebefordran
- Port 53 (UDP) är Domain Name System (DNS) som översätter namnen till IP-adresser
- Port 80 (TCP) är World Wide Web HTTP
Nummer 1 024 till 49 151 betraktas som ”registrerade portar” vilket betyder att de är registrerade av programvaruföretag. Portarna 49 151 till 65 536 är dynamiska och privata portar som kan användas av nästan alla.
Vilka protokoll används vid portskanning?
De allmänna protokollen som används för portskanning är TCP (Transmission Control Protocol) och UDP (User Datagram Protocol). De är båda dataöverföringsmetoder på Internet men har olika mekanismer.
TCP är en pålitlig, tvåvägsanslutningsbaserad överföring av data som utgår från destinationens status för att slutföra en lyckad sändning. UDP är anslutningslöst och opålitligt. Data som skickas via UDP-protokoll skickas utan att bry sig om destinationen. Det är därför inte säkert att alla data klarar det.
Det finns flera olika metoder för att utföra portskanningar med dessa två protokoll.
Vilka är de olika portskanningsteknikerna?
Det finns flera tekniker för portskanning, beroende på det specifika målet. Det är viktigt att notera att cyberbrottslingar också väljer en specifik portskanningsteknik baserat på deras mål eller attackstrategi.
I listan nedan visas några av teknikerna och hur de fungerar:
- Pingskanningar: De enklaste portskanningarna kallas pingskanningar. I ett nätverk används ping för att verifiera om ett nätverksdatapaket kan distribueras till en IP-adress utan fel. Pingskanningar skickar ut automatiska ICMP-förfrågningar till olika servrar för att få svar. IT-administratörer kan använda denna teknik för att felsöka eller inaktivera ping genom att använda en brandvägg. Det gör det omöjligt att hitta nätverket via ping.
- Halvöppna skanningar eller SYN-skanningar: En halvöppen skanning, eller ”SYN”-skanning, är en taktik som angripare använder för att fastställa status på en port utan att etablera en fullständig anslutning. Denna skanning skickar bara ett SYN-meddelande och slutför inte anslutningen och lämnar målet. Det är en snabb och dold teknik som används för att hitta potentiella öppna portar på målenheter.
- XMAS-skanningar: XMAS-skanningar är ännu tystare och märks ännu mindre av brandväggar. Oftast skickas FIN-paket från servern eller klienten för att avsluta en anslutning efter upprättande av en TCP 3-vägshandskakning och överföra data och detta indikeras genom meddelandet ”inga fler data är tillgängliga från avsändaren”. Ibland går FIN-paket obemärkt förbi brandväggar eftersom de oftast letar efter SYN-paket. Därför skickar XMAS-skanningar paket med alla flaggor, inklusive FIN, och förväntar sig inget svar vilket skulle innebära att porten är öppen. Om porten är stängd returneras ett RST-svar. XMAS-skanning visas sällan i loggar och är helt enkelt ett snyggare sätt att lära sig mer om ett nätverks skydd och brandvägg.
Vilken typ av portskanningsresultat kan du få från portskanning?
Portskanningsresultat rapporterar nätverks- och serverstatus och kan beskrivas med en av de tre kategorierna: öppen, stängd eller filtrerad.
- Öppna portar: Öppna portar anger att målservern eller nätverket aktivt accepterar anslutningar eller datagram och svarar med ett paket som anger att det lyssnar. De anger även att tjänsten som används för skanningen (vanligtvis TCP eller UDP) också används här.
Att hitta öppna portar är oftast det övergripande målet vid portskanning och en seger för en cyberbrottsling som letar efter en attackväg. IT-administratörer försöker spärra öppna portar genom att installera brandväggar för att skydda dem utan att begränsa åtkomsten för legitima användare.
- Stängda portar: Stängda portar anger att servern eller nätverket tog emot begäran men det finns ingen tjänst som ”lyssnar” på den porten. En stängd port är fortfarande tillgänglig och kan vara användbar för att visa att en värd har en IP-adress. IT-administratörer ska övervaka stängda portar eftersom de kan ändras till en öppen status och eventuellt skapa sårbarheter. IT-administratörer bör överväga att blockera stängda portar med en brandvägg där de sedan blir ”filtrerade” portar.
- Filtrerade portar: Filtrerade portar anger att ett begäranpaket skickades men värden svarade inte och lyssnar inte. Detta innebär oftast att ett begäranpaket filtrerades bort och/eller blockerades av en brandvägg. Om paketen inte når sin målplats kan angripare inte ta reda på mer information. Filtrerade portar svarar ofta med felmeddelanden om att destinationen inte kan nås eller att kommunikation är förbjuden.
Hur kan cyberbrottslingar använda portskanning som en attackmetod?
Enligt SANS-institutet är portskanning en av de mest populära taktikerna som används av angripare när de söker efter en sårbar server att ta sig in i.
Dessa cyberbrottslingar använder ofta portskanning som ett första steg när de inriktar sig på ett nätverk. De använder portskanningen för att utvidga säkerhetsnivåerna för olika organisationer och fastställa vem som har en stark brandvägg och vem som har en sårbar server eller ett sårbart nätverk. Ett antal TCP-protokolltekniker gör det faktiskt möjligt för angripare att dölja sin nätverksplats och använda ”lockbetestrafik” för att utföra portskanningar utan att avslöja någon nätverksadress till målet.
Angripare undersöker nätverk och system för att se hur varje port reagerar, antingen öppen, stängd eller filtrerad.
Öppna och stängda svar varnar hackare om att ditt nätverk faktiskt befinner sig i slutet av skanningen. Dessa cyberbrottslingar kan sedan fastställa typ av operativsystem och säkerhetsnivå.
Portskanning är en gammal teknik som kräver säkerhetsändringar och uppdaterad hotinformation eftersom protokoll och säkerhetsverktyg utvecklas dagligen. Portskanningar och brandväggar ska användas för att övervaka trafik till dina portar och se till att skadliga angripare inte upptäcker potentiella möjligheter att ta sig in i ditt nätverk med obehörig åtkomst.