ข้อมูลเบื้องต้นเกี่ยวกับการสแกนพอร์ตในความปลอดภัยเครือข่าย

การสแกนพอร์ตคืออะไร? มันคล้ายกับขโมยที่จะเข้ามาในละแวกบ้านของคุณและตรวจสอบทุกประตูและหน้าต่างในบ้านแต่ละหลังเพื่อดูว่าบ้านไหนเปิดอยู่และบ้านไหนถูกล็อค

TCP (Transmission Control Protocol) และ UDP (User Datagram Protocol) เป็นสองในโปรโตคอลที่ประกอบกันเป็นชุดโปรโตคอล TCP / IP ซึ่งใช้กันทั่วไปในการสื่อสารบนอินเทอร์เน็ต แต่ละพอร์ตมีพอร์ต 0 ถึง 65535 ที่พร้อมใช้งานดังนั้นโดยพื้นฐานแล้วมีประตูมากกว่า 65,000 บานให้ล็อค


การสแกนพอร์ตทำงานอย่างไร

ซอฟต์แวร์สแกนพอร์ตในสถานะพื้นฐานที่สุดจะส่งคำขอให้เชื่อมต่อกับคอมพิวเตอร์เป้าหมายในแต่ละพอร์ตตามลำดับและจดบันทึกว่าพอร์ตใดตอบสนองหรือดูเหมือนจะเปิดให้ตรวจสอบเชิงลึกมากขึ้น

หากการสแกนพอร์ตเป็นอันตรายผู้บุกรุกมักชอบที่จะตรวจไม่พบ คุณสามารถกำหนดค่าแอปพลิเคชันการรักษาความปลอดภัยเครือข่ายเพื่อแจ้งเตือนผู้ดูแลระบบหากตรวจพบการร้องขอการเชื่อมต่อในพอร์ตต่างๆจากโฮสต์เดียว

เพื่อหลีกเลี่ยงปัญหานี้ผู้บุกรุกสามารถสแกนพอร์ตในโหมดแฟลชหรือโหมดซ่อนตัว Strobing จำกัด พอร์ตไปยังเป้าหมายที่เล็กกว่าที่กำหนดไว้แทนที่จะสแกนพอร์ตทั้งหมด 65536 ทั้งหมด การสแกนแบบซ่อนตัวใช้เทคนิคต่างๆเช่นทำให้การสแกนช้าลง การสแกนพอร์ตเป็นระยะเวลานานจะช่วยลดโอกาสที่เป้าหมายจะเรียกการแจ้งเตือน

ด้วยการตั้งค่าแฟล็ก TCP ที่แตกต่างกันหรือการส่งแพ็กเก็ต TCP ประเภทต่างๆการสแกนพอร์ตสามารถสร้างผลลัพธ์ที่แตกต่างกันหรือค้นหาพอร์ตที่เปิดอยู่ในรูปแบบต่างๆ การสแกน SYN จะแจ้งให้เครื่องสแกนพอร์ตทราบว่าพอร์ตใดกำลังรับฟังและไม่ขึ้นอยู่กับประเภทของการตอบสนองที่สร้างขึ้น การสแกน FIN จะสร้างการตอบสนองจากพอร์ตที่ปิด แต่พอร์ตที่เปิดและการรับฟังจะไม่ r ดังนั้นเครื่องสแกนพอร์ตจะสามารถระบุได้ว่าพอร์ตใดเปิดอยู่และพอร์ตใดไม่เปิด

มีหลายวิธีในการสแกนพอร์ตจริงรวมถึงเทคนิคในการซ่อนแหล่งที่มาของการสแกนพอร์ต


วิธีการตรวจสอบการสแกนพอร์ต

เป็นไปได้ที่จะตรวจสอบเครือข่ายของคุณสำหรับการสแกนพอร์ต เคล็ดลับเช่นเดียวกับสิ่งต่างๆส่วนใหญ่ในด้านความปลอดภัยของข้อมูลคือการหาสมดุลที่เหมาะสมระหว่างประสิทธิภาพของเครือข่ายและความปลอดภัยของเครือข่าย

คุณสามารถตรวจสอบการสแกน SYN โดยบันทึกความพยายามใด ๆ ที่จะส่งแพ็กเก็ต SYN ไปยังพอร์ตที่ไม่ได้เปิดหรือฟัง อย่างไรก็ตามแทนที่จะได้รับการแจ้งเตือนทุกครั้งที่เกิดความพยายามเพียงครั้งเดียวให้ตัดสินใจเกี่ยวกับเกณฑ์เพื่อเริ่มการแจ้งเตือน ตัวอย่างเช่นคุณอาจบอกว่าการแจ้งเตือนควรทริกเกอร์หากมีแพ็กเก็ต SYN มากกว่า 10 ครั้งพยายามไปยังพอร์ตที่ไม่ได้ฟังในหนึ่งนาที

คุณสามารถออกแบบตัวกรองและกับดักเพื่อตรวจจับวิธีการสแกนพอร์ตที่หลากหลายเฝ้าดูการเพิ่มขึ้นอย่างรวดเร็วในแพ็คเก็ต FIN หรือการพยายามเชื่อมต่อจำนวนมากผิดปกติไปยังช่วงของพอร์ตหรือที่อยู่ IP จากแหล่ง IP เดียว

เพื่อช่วยให้มั่นใจว่าเครือข่ายของคุณได้รับการปกป้องและปลอดภัยคุณอาจต้องการทำการสแกนพอร์ตของคุณเอง ข้อแม้สำคัญที่นี่คือเพื่อให้แน่ใจว่าคุณได้รับการอนุมัติจากอำนาจทั้งหมดที่มีอยู่ก่อนที่จะเริ่มดำเนินโครงการนี้เพื่อมิให้คุณพบว่าตัวเองผิดกฎหมาย

เพื่อให้ได้ผลลัพธ์ที่แม่นยำที่สุดให้ทำการสแกนพอร์ตจากสถานที่ห่างไกลโดยใช้อุปกรณ์ที่ไม่ใช่ของ บริษัท และ ISP อื่น การใช้ซอฟต์แวร์เช่น Nmap คุณสามารถสแกนที่อยู่ IP และพอร์ตต่างๆและค้นหาว่าผู้โจมตีจะเห็นอะไรหากพวกเขาใช้พอร์ตสแกนเครือข่ายของคุณ โดยเฉพาะ NMap ช่วยให้คุณสามารถควบคุมเกือบทุกด้านของการสแกนและทำการสแกนพอร์ตประเภทต่างๆเพื่อให้เหมาะกับความต้องการของคุณ

เมื่อคุณพบว่าพอร์ตใดที่ตอบสนองเมื่อเปิดพอร์ตโดยการสแกนเครือข่ายของคุณคุณสามารถเริ่มดำเนินการเพื่อพิจารณาว่าพอร์ตเหล่านั้นต้องสามารถเข้าถึงได้จากภายนอกเครือข่ายของคุณหรือไม่ หากไม่จำเป็นคุณควรปิดหรือปิดกั้น หากจำเป็นคุณสามารถเริ่มค้นคว้าได้ว่ามีช่องโหว่และช่องโหว่ประเภทใดบ้างที่เครือข่ายของคุณเปิดให้ใช้โดยให้พอร์ตเหล่านี้สามารถเข้าถึงได้และทำงานเพื่อใช้แพตช์หรือการบรรเทาที่เหมาะสมเพื่อปกป้องเครือข่ายของคุณให้มากที่สุด