HTG paaiškina, kas yra portų nuskaitymas?
Uostų nuskaitymas yra šiek tiek panašus į knibždantį kiaurymę, kad pamatytumėte, kurios durys užrakintos. Skaitytuvas sužino, kurie maršrutizatoriaus ar užkardos prievadai yra atidaryti, ir naudodami šią informaciją galite rasti galimus kompiuterio sistemos trūkumus.
Kas yra uostas?
Kai įrenginys prisijungia prie kito įrenginio per tinklą, jis nurodo TCP arba UDP prievado numerį nuo 0 iki 65535. Tačiau kai kurie prievadai naudojami dažniau. TCP prievadai nuo 0 iki 1023 yra „gerai žinomi uostai“, teikiantys sistemos paslaugas. Pavyzdžiui, 20 prievadas yra FTP failų perdavimas, 22 prievadas yra „Secure Shell“ (SSH) terminalo jungtys, 80 prievadas yra standartinis HTTP žiniatinklio srautas, o 443 prievadas yra užšifruotas HTTPS. Taigi, prisijungus prie saugios svetainės, jūsų interneto naršyklė kalba su interneto serveriu, kuris klausosi to serverio 443 prievado.
Paslaugos ne visada turi būti vykdomos šiuose konkrečiuose uostuose. Pavyzdžiui, jei norite, galite paleisti HTTPS žiniatinklio serverį 32342 prievade arba „Secure Shell“ serveryje 65001 prievade. Tai tik standartiniai numatytieji nustatymai.
Kas yra „Port Scan“?
Portų nuskaitymas yra procesas, kuriuo tikrinami visi IP adresų prievadai, kad būtų galima pamatyti, ar jie yra atidaryti ar uždaryti. Portų nuskaitymo programinė įranga patikrintų prievadą 0, 1 prievadą, 2 prievadą ir visą kelią iki 65535 prievado. Tai atliekama tiesiog siunčiant užklausą kiekvienam uostui ir prašant atsakymo. Paprasčiausia forma, uosto nuskaitymo programinė įranga klausia apie kiekvieną prievadą, po vieną. Nuotolinė sistema atsakys ir pasakys, ar uostas yra atidarytas, ar uždarytas. Tuomet uostas nuskaito asmuo žinos, kurie prievadai yra atidaryti.
Bet kokia tinklo užkarda gali užblokuoti arba kitaip sumažinti srautą, taigi uosto nuskaitymas taip pat yra būdas rasti, kurie prievadai yra pasiekiami arba veikiami tinkle, toje nuotolinėje sistemoje.
„Nmap“ įrankis yra bendras tinklo įrankis, naudojamas portų nuskaitymui, tačiau yra daug kitų portų nuskaitymo įrankių.
Kodėl žmonės skenuoja uostas?
Uosto nuskaitymai yra naudingi nustatant sistemos pažeidžiamumą. Uosto nuskaitymas papasakotų užpuolikui, kurie uostai yra atviri sistemoje ir kurie jiems padėtų suformuluoti atakos planą. Pavyzdžiui, jei „Secure Shell“ (SSH) serveris buvo aptiktas kaip klausantis 22 prievado, užpuolikas gali pabandyti prisijungti ir patikrinti silpnus slaptažodžius. Jei kitame serveryje klausosi kito tipo serverio, užpuolikas gali jį pakabinti ir pamatyti, ar yra klaida, kurią galima išnaudoti. Galbūt veikia senoji programinės įrangos versija ir yra žinoma saugos skylė.
Tokie nuskaitymo tipai taip pat gali padėti aptikti paslaugas, veikiančias ne numatytuosiuose prievaduose. Taigi, jei naudojate SSH serverį 65001 prievado vietoje, o ne 22 prievadą, portų nuskaitymas tai atskleis, o užpuolikas gali pabandyti prisijungti prie jūsų SSH serverio tame uoste. Jūs negalite paslėpti serverio ne numatytame prievade, kad apsaugotumėte savo sistemą, nors tai sunkiau surasti serverį.
Portų nuskaitymus naudoja ne tik užpuolikai. Uosto nuskaitymas yra naudingas atliekant bandymus gynybos srityje. Organizacija gali nuskaityti savo sistemas, kad nustatytų, kurios paslaugos yra veikiamos tinkle, ir užtikrinti, kad jie būtų tinkamai sukonfigūruoti.
Kaip pavojingi yra uosto nuskaitymai?
Uosto nuskaitymas gali padėti atakuotojui surasti silpną vietą atakuoti ir įsilaužti į kompiuterinę sistemą. Tai tik pirmas žingsnis. Tik todėl, kad radote atvirą uostą, tai nereiškia, kad galite jį užpulti. Tačiau, kai radote atvirą prievadą, kuriame veikia klausymo paslauga, galite nuskaityti ją pažeidžiamumui. Tai yra tikras pavojus.
Jūsų namų tinkle beveik neabejotinai yra maršrutizatorius, sėdintis tarp jūsų ir interneto. Kažkas internete galėtų tik nuskaityti jūsų maršrutizatorių, ir jie nerastų nieko nuo galimų maršrutizatoriaus paslaugų. Šis maršrutizatorius veikia kaip užkarda, nebent jūs persiųstumėte atskirus prievadus iš maršrutizatoriaus į įrenginį, tokiu atveju šie konkretūs prievadai yra veikiami internete.
Kompiuterių serverių ir įmonių tinklų atveju užkardos gali būti konfigūruojamos taip, kad aptiktų portų nuskaitymą ir blokuotų srautą iš nuskaitymo adreso. Jei visos internetu veikiančios paslaugos yra saugiai sukonfigūruotos ir neturi jokių žinomų saugos skylių, uosto skenavimas neturėtų būti netgi baisu.
Portų nuskaitymo tipai
„TCP full connection“ prievado nuskaitymo metu skaitytuvas siunčia SYN (ryšio užklausos) pranešimą į uostą. Jei prievadas yra atidarytas, nuotolinė sistema atsako SYN-ACK (patvirtinimo) pranešimu. Skaitytuvas nei atsako su savo ACK (patvirtinimo) pranešimu. Tai pilnas TCP ryšio rankos paspaudimas, ir skaitytuvas žino, kad sistema priima prievadus prievaduose, jei šis procesas vyksta.
Jei uostas yra uždarytas, nuotolinė sistema atsakys RST (reset) pranešimu. Jei nuotolinė sistema nėra tinkle, atsakymas nebus pateiktas.
Kai kurie skaitytuvai atlieka „TCP pusiau atidarytą“ nuskaitymą. Užuot eidami per visą SYN, SYN-ACK ir tada ACK ciklą, jie tiesiog siunčia SYN ir laukia atsakymo į SYN-ACK arba RST pranešimą. Nebūtina išsiųsti galutinio ACK, kad užmegztumėte ryšį, nes SYN-ACK pasakys skaitytuvui viską, ką reikia žinoti. Tai greitesnis, nes reikia siųsti mažiau paketų.
Kitų tipų skenavimas apima svetimų, netinkamai sukurtų paketų tipų siuntimą ir laukimą, kad pamatytumėte, ar nuotolinė sistema grąžina RST paketą, uždarantį ryšį. Jei taip, skaitytuvas žino, kad toje vietoje yra nuotolinė sistema ir kad tam tikras uostas yra uždarytas. Jei paketas nepriimamas, skaitytuvas žino, kad uostas turi būti atidarytas.
Paprasta, uosto nuskaitymas, kur programinė įranga prašo informacijos apie kiekvieną uostą, vienas po kito, yra lengva pastebėti. Tinklo užkardas galima lengvai konfigūruoti, kad aptiktų ir sustabdytų šį elgesį.
Štai kodėl kai kurie uosto nuskaitymo būdai veikia skirtingai. Pvz., Uosto nuskaitymas gali nuskaityti mažesnį prievadų diapazoną arba galbūt nuskaityti visą uostų diapazoną per daug ilgesnį laikotarpį, todėl būtų sunkiau aptikti.
Uosto nuskaitymas yra pagrindinis, duonos ir sviesto apsaugos įrankis, kai kalbama apie įsiskverbiančias (ir užtikrinančias) kompiuterines sistemas. Bet jie yra tik įrankis, leidžiantis atakuotojams surasti uostus, kurie gali būti pažeidžiami išpuoliams. Jie nesuteikia užpuolikui prieigos prie sistemos, ir saugiai sukonfigūruota sistema tikrai gali atlaikyti visą uosto nuskaitymą be jokios žalos.
Vaizdo kreditas: xfilephotos / Shutterstock.com, Casezy idėja / Shutterstock.com.