โฮมเพจ » ทำอย่างไร » HTG อธิบายการสแกนพอร์ตคืออะไร

    HTG อธิบายการสแกนพอร์ตคืออะไร

    การสแกนพอร์ตเปรียบเสมือนการกระตุกลูกบิดประตูเพื่อดูว่าประตูใดถูกล็อค สแกนเนอร์เรียนรู้ว่าพอร์ตใดบนเราเตอร์หรือไฟร์วอลล์ที่เปิดอยู่และสามารถใช้ข้อมูลนี้เพื่อค้นหาจุดอ่อนที่อาจเกิดขึ้นกับระบบคอมพิวเตอร์.

    พอร์ตคืออะไร?

    เมื่ออุปกรณ์เชื่อมต่อกับอุปกรณ์อื่นผ่านเครือข่ายอุปกรณ์จะระบุหมายเลขพอร์ต TCP หรือ UDP จาก 0 ถึง 65535 อย่างไรก็ตามบางพอร์ตจะใช้บ่อยกว่า พอร์ต TCP 0 ถึง 1023 เป็น“ พอร์ตที่รู้จักกันดี” ที่ให้บริการระบบ ตัวอย่างเช่นพอร์ต 20 คือการถ่ายโอนไฟล์ FTP, พอร์ต 22 คือการเชื่อมต่อเทอร์มินัล Secure Shell (SSH), พอร์ต 80 เป็นทราฟฟิกเว็บ HTTP มาตรฐานและพอร์ต 443 ถูกเข้ารหัส HTTPS ดังนั้นเมื่อคุณเชื่อมต่อกับเว็บไซต์ที่ปลอดภัยเว็บเบราว์เซอร์ของคุณกำลังพูดคุยกับเว็บเซิร์ฟเวอร์ที่กำลังฟังพอร์ต 443 ของเซิร์ฟเวอร์นั้น.

    บริการไม่จำเป็นต้องทำงานบนพอร์ตเฉพาะเหล่านี้เสมอไป ตัวอย่างเช่นคุณสามารถเรียกใช้เว็บเซิร์ฟเวอร์ HTTPS บนพอร์ต 32342 หรือเซิร์ฟเวอร์ Secure Shell บนพอร์ต 65001 หากคุณต้องการ นี่เป็นเพียงค่าเริ่มต้นมาตรฐาน.

    การสแกนพอร์ตคืออะไร?

    การสแกนพอร์ตเป็นกระบวนการตรวจสอบพอร์ตทั้งหมดที่อยู่ IP เพื่อดูว่าพวกเขากำลังเปิดหรือปิดอยู่ ซอฟต์แวร์การสแกนพอร์ตจะตรวจสอบพอร์ต 0, พอร์ต 1, พอร์ต 2 และไปจนถึงพอร์ต 65535 ทั้งหมดนี้ทำได้โดยเพียงส่งคำขอไปยังแต่ละพอร์ตและขอคำตอบ ในรูปแบบที่ง่ายที่สุดซอฟต์แวร์สแกนพอร์ตจะถามเกี่ยวกับแต่ละพอร์ตทีละพอร์ต ระบบระยะไกลจะตอบสนองและบอกว่าพอร์ตเปิดหรือปิด บุคคลที่ทำการสแกนพอร์ตจะทราบว่าพอร์ตใดเปิดอยู่.

    ไฟร์วอลล์เครือข่ายใด ๆ อาจขวางกั้นหรือลดทราฟฟิกของพอร์ตดังนั้นการสแกนพอร์ตจึงเป็นวิธีการค้นหาพอร์ตที่สามารถเข้าถึงได้หรือเปิดเผยกับเครือข่ายในระบบระยะไกลนั้น.

    เครื่องมือ nmap เป็นยูทิลิตี้เครือข่ายทั่วไปที่ใช้สำหรับการสแกนพอร์ต แต่มีเครื่องมือสแกนพอร์ตอื่น ๆ อีกมากมาย.

    ทำไมผู้คนถึงเรียกใช้พอร์ตสแกน?

    การสแกนพอร์ตมีประโยชน์ในการพิจารณาช่องโหว่ของระบบ การสแกนพอร์ตจะบอกผู้โจมตีว่าพอร์ตใดที่เปิดอยู่บนระบบและนั่นจะช่วยให้พวกเขากำหนดแผนการโจมตี ตัวอย่างเช่นหากเซิร์ฟเวอร์ Secure Shell (SSH) ตรวจพบว่ากำลังฟังพอร์ต 22 ผู้โจมตีสามารถลองเชื่อมต่อและตรวจสอบรหัสผ่านที่อ่อนแอ หากเซิร์ฟเวอร์ประเภทอื่นกำลังฟังที่พอร์ตอื่นผู้โจมตีสามารถกระตุ้นและดูว่ามีข้อผิดพลาดที่สามารถใช้ประโยชน์ได้หรือไม่ บางทีซอฟต์แวร์เวอร์ชันเก่ากำลังทำงานอยู่และอาจมีช่องโหว่ด้านความปลอดภัยที่ทราบ.

    การสแกนประเภทนี้สามารถช่วยตรวจสอบบริการที่ทำงานบนพอร์ตที่ไม่ใช่ค่าเริ่มต้น ดังนั้นหากคุณใช้เซิร์ฟเวอร์ SSH บนพอร์ต 65001 แทนที่จะเป็นพอร์ต 22 การสแกนพอร์ตจะเปิดเผยสิ่งนี้และผู้โจมตีสามารถลองเชื่อมต่อกับเซิร์ฟเวอร์ SSH ของคุณบนพอร์ตนั้นได้ คุณไม่สามารถซ่อนเซิร์ฟเวอร์บนพอร์ตที่ไม่ใช่ค่าเริ่มต้นเพื่อรักษาความปลอดภัยระบบของคุณแม้ว่าจะทำให้เซิร์ฟเวอร์ค้นหาได้ยากขึ้น.

    การสแกนพอร์ตไม่ได้ถูกใช้โดยผู้โจมตี การสแกนพอร์ตมีประโยชน์สำหรับการทดสอบการเจาะแบบป้องกัน องค์กรสามารถสแกนระบบของตัวเองเพื่อพิจารณาว่าบริการใดบ้างที่เปิดรับกับเครือข่ายและตรวจสอบให้แน่ใจว่าบริการเหล่านั้นได้รับการกำหนดค่าอย่างปลอดภัย.

    การสแกนพอร์ตอันตรายแค่ไหน?

    การสแกนพอร์ตสามารถช่วยผู้โจมตีหาจุดอ่อนในการโจมตีและบุกเข้าสู่ระบบคอมพิวเตอร์ เป็นเพียงก้าวแรกเท่านั้น เพียงเพราะคุณพบว่าพอร์ตเปิดไม่ได้หมายความว่าคุณจะสามารถโจมตีได้ แต่เมื่อคุณพบพอร์ตเปิดที่ใช้บริการฟังคุณสามารถสแกนหาช่องโหว่ได้ นั่นคืออันตรายที่แท้จริง.

    ในเครือข่ายภายในบ้านของคุณคุณมีเราเตอร์อยู่ระหว่างคุณและอินเทอร์เน็ต บางคนบนอินเทอร์เน็ตจะสามารถสแกนพอร์ตเราเตอร์ของคุณได้เท่านั้นและพวกเขาจะไม่พบสิ่งใดนอกจากบริการที่เป็นไปได้ของเราเตอร์เอง เราเตอร์นั้นทำหน้าที่เป็นไฟร์วอลล์ - เว้นแต่คุณจะส่งต่อแต่ละพอร์ตจากเราเตอร์ของคุณไปยังอุปกรณ์ซึ่งในกรณีนี้พอร์ตเหล่านั้นจะถูกเปิดเผยต่ออินเทอร์เน็ต.

    สำหรับเซิร์ฟเวอร์คอมพิวเตอร์และเครือข่ายองค์กรไฟร์วอลล์สามารถกำหนดค่าเพื่อตรวจจับการสแกนพอร์ตและปิดกั้นการรับส่งข้อมูลจากที่อยู่ที่กำลังสแกน หากบริการทั้งหมดที่เปิดเผยกับอินเทอร์เน็ตได้รับการกำหนดค่าอย่างปลอดภัยและไม่มีช่องโหว่ด้านความปลอดภัยการสแกนพอร์ตไม่ควรน่ากลัวจนเกินไป.

    ประเภทของการสแกนพอร์ต

    ในการสแกนพอร์ต“ TCP เต็มการเชื่อมต่อ” สแกนเนอร์ส่งข้อความ SYN (การร้องขอการเชื่อมต่อ) ไปยังพอร์ต หากพอร์ตเปิดอยู่ระบบรีโมตจะตอบกลับด้วยข้อความ SYN-ACK (ตอบรับ) สแกนเนอร์กว่าตอบกลับด้วยข้อความ ACK (ตอบรับ) ของตัวเอง นี่คือการจับมือการเชื่อมต่อ TCP เต็มรูปแบบและสแกนเนอร์รู้ว่าระบบกำลังรับการเชื่อมต่อบนพอร์ตหากกระบวนการนี้เกิดขึ้น.

    หากปิดพอร์ตระบบรีโมตจะตอบกลับด้วยข้อความ RST (รีเซ็ต) หากระบบรีโมตไม่ปรากฏบนเครือข่ายจะไม่มีการตอบสนอง.

    สแกนเนอร์บางตัวทำการสแกน“ TCP half-open” แทนที่จะไปผ่าน SYN, AC-ACK เต็มรูปแบบและจากนั้นรอบ ACK พวกเขาเพียงแค่ส่ง SYN และรอข้อความ SYN-ACK หรือ RST ในการตอบสนอง ไม่จำเป็นต้องส่ง ACK สุดท้ายเพื่อทำการเชื่อมต่อให้เสร็จสมบูรณ์เนื่องจาก SYN-ACK จะบอกสแกนเนอร์ทุกอย่างที่จำเป็นต้องรู้ เร็วกว่าเพราะต้องส่งแพ็กเก็ตน้อยกว่า.

    การสแกนประเภทอื่นเกี่ยวข้องกับการส่งคนแปลกหน้าประเภทของแพ็คเก็ตที่ไม่ถูกต้องและรอดูว่าระบบรีโมตส่งคืนแพ็กเก็ต RST ที่ปิดการเชื่อมต่อหรือไม่ หากเป็นเช่นนั้นเครื่องสแกนจะรู้ว่ามีระบบรีโมตในตำแหน่งนั้นและปิดพอร์ตใดพอร์ตหนึ่งโดยเฉพาะ หากไม่ได้รับแพ็กเก็ตสแกนเนอร์จะรู้ว่าต้องเปิดพอร์ต.

    ง่ายในการสแกนพอร์ตที่ซอฟต์แวร์ร้องขอข้อมูลเกี่ยวกับแต่ละพอร์ตทีละพอร์ตนั้นง่ายต่อการตรวจจับ ไฟร์วอลล์เครือข่ายสามารถกำหนดค่าได้อย่างง่ายดายเพื่อตรวจจับและหยุดพฤติกรรมนี้.

    นั่นเป็นเหตุผลที่เทคนิคการสแกนพอร์ตทำงานแตกต่างกัน ตัวอย่างเช่นการสแกนพอร์ตสามารถสแกนพอร์ตที่มีขนาดเล็กกว่าหรือสามารถสแกนพอร์ตทั้งหมดในช่วงเวลาที่นานกว่าดังนั้นมันจึงยากต่อการตรวจจับ.


    การสแกนพอร์ตเป็นเครื่องมือรักษาความปลอดภัยพื้นฐานแบบขนมปังและเนยเมื่อพูดถึงการเจาะระบบคอมพิวเตอร์ (และการรักษาความปลอดภัย) แต่เป็นเพียงเครื่องมือที่ช่วยให้ผู้โจมตีค้นหาพอร์ตที่อาจเสี่ยงต่อการถูกโจมตี พวกเขาไม่ให้ผู้โจมตีเข้าถึงระบบและระบบที่กำหนดค่าอย่างปลอดภัยสามารถทนต่อการสแกนพอร์ตแบบเต็มโดยไม่มีอันตรายใด ๆ.

    เครดิตรูปภาพ: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.