Сканер портів
Сканер портів — це програма, призначена для перевірки сервера або хоста на наявність відкритих сокет-портів. Адміністратори часто використовують для перевірки політики безпеки своїх мереж. Хакери теж використовують для ідентифікації мережевих сервісів, що працюють на хості, та пошуку вразливостей.
Сканування портів — це процес, який надсилає клієнтські запити до діапазону адрес портів сервера на хості з метою пошуку активного порту, він не є зловмисним за задумом[1]. Більшість застосувань сканування портів є не атаками, а простими перевірками для визначення послуг, доступних на віддаленому хості.
Основи TCP/IP
Архітектура та принципи інтернету основані на IP-протоколі (Інтернет протокол). Відповідно до цієї системи, мережеві послуги надаються за допомогою пари компонент: адреси хоста та номера порту. Всього існує 65536 різних доступних для використання портів. Більшість мережевих сервісів використовують тільки декілька портів для виконання поставлених задач
Деякі сканери портів сканують тільки найпоширеніші номери портів або порти, що найчастіше пов'язані з уразливими службами, на певному хості.
Результат сканування на порту зазвичай зводиться до одного із трьох варіантів:[2]
- Порт відкритий: хост відправив відповідь, яка вказує на те, що дані, відправлені на цей порт прослуховуються і обробляються хостом
- Порт закритий: хост відправив відповідь, яка вказує на те, що дані, відправлені на цей порт не оброблятимуться і будуть відкинуті
- Відповідь не отримана — хост не відправив відповідь на запит, або вона не дійшла.
Усі форми сканування портів спираються на припущення, що кінцевий пристрій сумісний із стандартом RFC 793
Типи сканувань
Перевірка доступності
Перш ніж почати комплексне сканування корисно буде впевнитись, що за цільовою адресою знаходиться працюючий пристрій.
Ця задача вирішується шляхом надсилання Echo-повідомлень протоколу ICMP[3] за допомогою утиліти ping з послідовним перебором усіх ip-адрес мережі
Аналізуючи трафік і відстежуючи Echo-повідомлення, що надсилаються за короткий проміжок часу до всіх хостів, можна виявити спроби сканування
SYN-сканування
Сканер портів генерує IP-пакети і відслідковує відповіді на них. Цю техніку називають скануванням із використанням напіввідкритих з'єднань, оскільки повна TCP/IP-сесія повністю ніколи не відкривається. Сканер портів генерує пакет SYN. Якщо порт на кінцевому хості відкритий, то з нього прийде пакет SYN-ACK. У відповідь сканер відправляє пакет RST, який закриває з'єднання ще до того як завершується встановлення сесії
Фільтрація портів інтернет-провайдерами
Багато інтернет-провайдерів забороняють своїм користувачам сканувати порти для ip-адрес, які не належать домашній мережі абонента. Дані положення зазвичай прописуються у договорі кінцевого користувача, з усіма пунктами якого повинен погодитися абонент під час підключення. Деякі провайдери застосовують фільтрацію пакетів
Програмне забезпечення
Див. також
Примітки
- RFC 2828 Internet Security Glossary, page 128
- Сканер портов (рос).
- Типи сканувань (рос).
- сайт розробників програми Advanced IP Scanner (англ).
- сайт розробників програми Nmap (англ).