Сканер портов

Сканер портов — это приложение, предназначенное для проверки сервера или хоста на наличие открытых портов . Такое приложение может использоваться администраторами для проверки политик безопасности своих сетей , а также злоумышленниками для идентификации сетевых служб , работающих на хосте, и использования уязвимостей.

Сканирование портов или сканирование портов — это процесс, который отправляет клиентские запросы на диапазон адресов портов сервера на хосте с целью найти активный порт; это не какой-то гнусный процесс сам по себе. ^[1] В большинстве случаев сканирование портов — это не атаки, а простые проверки для определения служб, доступных на удаленном компьютере.

Проверка портов означает сканирование нескольких хостов на предмет определенного порта прослушивания. Последний обычно используется для поиска конкретной службы, например, SQL на основе компьютерный червь может проверять порты в поисках хостов, прослушивающих TCP- порт 1433. ^[2]

Основы TCP/IP [ править ]

Конструкция и работа Интернета основаны на наборе протоколов Интернета , обычно также называемом TCP/IP . В этой системе обращение к сетевым службам осуществляется с использованием двух компонентов: адреса хоста и номера порта. Существует 65535 различных и пригодных для использования номеров портов, пронумерованных от 1 до 65535. (Нулевой порт не является пригодным для использования номером порта.) Большинство служб используют один или, самое большее, ограниченный диапазон номеров портов.

Некоторые сканеры портов сканируют только наиболее распространенные номера портов или порты, которые чаще всего связаны с уязвимыми службами на данном хосте.

Результат сканирования порта обычно относят к одной из трех категорий:

Открыто или принято : хост отправил ответ, указывающий, что служба прослушивает порт.
Закрыто , отклонено или не прослушивается : хост отправил ответ, указывающий, что подключения к порту будут запрещены.
Отфильтровано , удалено или заблокировано : ответ от хоста не получен.

Открытые порты представляют две уязвимости, которых администраторам следует опасаться:

Проблемы безопасности и стабильности, связанные с программой, отвечающей за предоставление услуги — открытые порты.
Проблемы безопасности и стабильности, связанные с операционной системой , работающей на хосте: открытые или закрытые порты.

Отфильтрованные порты не имеют уязвимостей.

Предположения [ править ]

Все формы сканирования портов основаны на предположении, что целевой хост соответствует RFC . Хотя это происходит в большинстве случаев, все же существует вероятность, что хост может отправлять обратно странные пакеты или даже генерировать ложные срабатывания , когда стек TCP/IP хоста не соответствует RFC или был изменен. Это особенно актуально для менее распространенных методов сканирования, которые зависят от ОС (например, сканирование FIN). ^[3] Метод снятия отпечатков стека TCP/IP также опирается на эти типы различных сетевых ответов на определенный стимул, чтобы угадать тип операционной системы, на которой работает хост.

Виды сканирований [ править ]

TCP-сканирование [ править ]

Простейшие сканеры портов используют сетевые функции операционной системы и, как правило, являются следующим вариантом, когда SYN невозможен (описано ниже). Nmap вызывает этот режим сканирования подключения, названный в честь системного вызова Unix Connect(). Если порт открыт, операционная система завершает TCP трехстороннее подтверждение , и сканер портов немедленно закрывает соединение, чтобы избежать атаки типа «отказ в обслуживании» . ^[3]В противном случае возвращается код ошибки. Преимущество этого режима сканирования заключается в том, что пользователю не требуются специальные привилегии. Однако использование сетевых функций ОС препятствует низкоуровневому контролю, поэтому этот тип сканирования встречается реже. Этот метод является «шумным», особенно если это « прочистка портов »: службы могут регистрировать IP-адрес отправителя, а системы обнаружения вторжений могут поднять тревогу.

SYN-сканирование [ править ]

SYN -сканирование — это еще одна форма TCP-сканирования. Вместо использования сетевых функций операционной системы сканер портов сам генерирует необработанные IP-пакеты и отслеживает ответы. Этот тип сканирования также известен как «полуоткрытое сканирование», поскольку при нем никогда не открывается полное TCP-соединение. Сканер портов генерирует пакет SYN. Если целевой порт открыт, он ответит пакетом SYN-ACK. Хост сканера отвечает пакетом RST, закрывая соединение до завершения установления связи. ^[3] Если порт закрыт, но не фильтруется, цель мгновенно ответит пакетом RST.

Использование необработанной сети имеет ряд преимуществ: он дает сканеру полный контроль над отправленными пакетами и временем ожидания ответов, а также позволяет создавать подробные отчеты об ответах. Ведутся споры о том, какое сканирование менее вредно для целевого хоста. Преимущество сканирования SYN заключается в том, что отдельные службы фактически никогда не получают соединения. Однако RST во время установления связи может вызвать проблемы для некоторых сетевых стеков, в частности для простых устройств, таких как принтеры. В любом случае убедительных аргументов нет.

UDP-сканирование [ править ]

Сканирование UDP также возможно, хотя есть технические проблемы. UDP — это протокол без установления соединения , поэтому эквивалента TCP SYN-пакету не существует. Однако если пакет UDP отправляется на закрытый порт, система ответит сообщением ICMP о недостижимости порта. Большинство сканеров портов UDP используют этот метод сканирования и используют отсутствие ответа для вывода о том, что порт открыт. Однако если порт заблокирован брандмауэром , этот метод ложно сообщит, что порт открыт. Если сообщение о недостижимости порта заблокировано, все порты будут отображаться открытыми. На этот метод также влияет ограничение скорости ICMP . ^[4]

Альтернативный подход заключается в отправке UDP-пакетов, специфичных для приложения, в надежде сгенерировать ответ уровня приложения. Например, отправка DNS-запроса на порт 53 приведет к получению ответа, если DNS-сервер присутствует. Этот метод гораздо более надежен при определении открытых портов. Однако оно ограничено сканированием портов, для которых доступен тестовый пакет для конкретного приложения. Некоторые инструменты (например, Nmap , Unionscan ^[5]), как правило, имеют зонды для менее 20 служб UDP, в то время как некоторые коммерческие инструменты имеют до 70. В некоторых случаях служба может прослушивать порт, но настроена так, чтобы не отвечать на конкретный тестовый пакет.

Сканирование ACK [ править ]

Сканирование ACK — один из наиболее необычных типов сканирования, поскольку он точно не определяет, открыт ли порт или закрыт, а лишь является ли порт фильтруемым или нефильтрованным. Это особенно полезно при попытке проверить наличие брандмауэра и его наборов правил. Простая фильтрация пакетов позволит установить соединения (пакеты с установленным битом ACK), тогда как более сложный брандмауэр с отслеживанием состояния может этого не сделать. ^[6]

Окно сканирования [ править ]

Редко используемое из-за своего устаревшего характера сканирование окон довольно ненадежно при определении того, открыт или закрыт порт. Он генерирует тот же пакет, что и сканирование ACK, но проверяет, было ли изменено поле окна пакета. Когда пакет достигает пункта назначения, конструктивный недостаток пытается создать размер окна для пакета, если порт открыт, помечая поле окна пакета единицами, прежде чем он вернется отправителю. Использование этой техники сканирования в системах, которые больше не поддерживают эту реализацию, возвращает 0 в поле окна, помечая открытые порты как закрытые. ^[7]

FIN-сканирование [ править ]

Поскольку сканирование SYN не является достаточно скрытным, брандмауэры, как правило, сканируют и блокируют пакеты в форме пакетов SYN. ^[3] Пакеты FIN могут обходить межсетевые экраны без изменений. Закрытые порты отвечают на пакет FIN соответствующим пакетом RST, тогда как открытые порты игнорируют имеющийся пакет. Это типичное поведение, обусловленное природой TCP, и в некотором смысле это неизбежный крах. ^[8]

Другие типы сканирования [ править ]

Существуют и более необычные типы сканирования. Они имеют различные ограничения и не получили широкого распространения. Nmap поддерживает большинство из них. ^[6]

X-mas и Null Scan — аналогичны сканированию FIN , но: ^[3]
- X-mas отправляет пакеты с включенными флагами FIN, URG и PUSH, как рождественская елка.
- Null отправляет пакет без установленных флагов TCP.
Сканирование протоколов — определяет, какие протоколы уровня IP (TCP, UDP, GRE и т. д.) включены.
Прокси- прокси-сервер ( SOCKS или HTTP сканирование — для выполнения сканирования используется ). Цель будет видеть IP-адрес прокси-сервера в качестве источника. Это также можно сделать с помощью некоторых FTP -серверов.
Сканирование в режиме ожидания — еще один метод сканирования без раскрытия IP-адреса, использующий предсказуемый недостаток IP-идентификатора .
CatSCAN — проверяет порты на наличие ошибочных пакетов.
Сканирование ICMP — определяет, отвечает ли хост на запросы ICMP, такие как эхо ( ping ), сетевая маска и т. д.

Фильтрация портов по интернет-провайдерам [ править ]

Многие интернет-провайдеры ограничивают возможность своих клиентов выполнять сканирование портов за пределами своих домашних сетей. Обычно это описано в условиях обслуживания или политике допустимого использования , с которой клиент должен согласиться. ^[9]^[10]Некоторые интернет-провайдеры реализуют фильтры пакетов или прозрачные прокси , которые предотвращают исходящие запросы обслуживания на определенные порты. Например, если интернет-провайдер предоставляет прозрачный HTTP-прокси на порту 80, при сканировании портов любого адреса порт 80 будет открыт, независимо от фактической конфигурации целевого хоста.

Безопасность [ править ]

Информация, собранная при сканировании портов, имеет множество законных применений, включая инвентаризацию сети и проверку ее безопасности. Однако сканирование портов также может быть использовано для нарушения безопасности. Многие эксплойты полагаются на сканирование портов для поиска открытых портов и отправки определенных шаблонов данных в попытке вызвать состояние, известное как переполнение буфера . Такое поведение может поставить под угрозу безопасность сети и компьютеров в ней, что приведет к потере или раскрытию конфиденциальной информации и возможности выполнять работу. ^[3]

Уровень угрозы, вызванный сканированием портов, может сильно различаться в зависимости от метода сканирования, типа сканируемого порта, его номера, значения целевого хоста и администратора, который контролирует хост. Но сканирование портов часто рассматривается как первый шаг к атаке, и поэтому к нему относятся серьезно, поскольку оно может раскрыть много конфиденциальной информации о хосте. ^[11]Несмотря на это, вероятность того, что только сканирование портов приведет к реальной атаке, невелика. Вероятность атаки значительно выше, когда сканирование портов связано со сканированием уязвимостей . ^[12]

Юридические последствия

Из-за изначально открытой и децентрализованной архитектуры Интернета законодатели с момента его создания изо всех сил пытались определить правовые границы, позволяющие эффективно преследовать киберпреступников . Дела, связанные со сканированием портов, являются примером трудностей, возникающих при рассмотрении нарушений. Хотя такие случаи редки, в большинстве случаев юридический процесс предполагает доказывание наличия намерения совершить взлом или несанкционированный доступ, а не просто сканирование портов.

В июне 2003 года израильтянин Ави Мизрахи был обвинен израильскими властями в попытке несанкционированного доступа к компьютерным материалам. Он просканировал порт веб-сайта Моссада . 29 февраля 2004 года с него были сняты все обвинения. Судья постановил, что такого рода действия не следует препятствовать, если они совершаются в позитивном ключе. ^[13]

Крупный финский банк обвинил 17-летнего финна в попытке взлома компьютера. признал его виновным 9 апреля 2003 года Верховный суд Финляндии и обязал выплатить 12 000 долларов США за расходы на судебно-медицинскую экспертизу, проведенную банком. В 1998 году он просканировал порты банковской сети, пытаясь получить доступ к закрытой сети, но не смог этого сделать. ^[14]

В 2006 году парламент Великобритании проголосовал за поправку к Закону о неправомерном использовании компьютеров 1990 года, согласно которой в совершении преступления признается лицо, которое «изготовляет, адаптирует, поставляет или предлагает поставлять любое изделие, зная, что оно разработано или адаптировано для использования в учебных целях». преступления, предусмотренного разделом 1 или 3 [CMA, или в связи с ним]». ^[15] Тем не менее, сфера действия этой поправки размыта и сама по себе подвергается широкой критике со стороны экспертов по безопасности. ^[16]

Германия, где есть § 202a,b,c Strafgesetzbuch , также имеет аналогичный закон, а Совет Европейского Союза выпустил пресс-релиз, в котором говорится, что они также планируют принять аналогичный закон, хотя и более точный. ^[17]

США [ править ]

Moulton v. VC3 [ edit ]

В декабре 1999 года Скотт Моултон был арестован ФБР и обвинен в попытке проникновения на компьютер в соответствии с Законом Джорджии о защите компьютерных систем и Законом Америки о компьютерном мошенничестве и злоупотреблениях . В это время у его ИТ-сервисной компании был действующий контракт с округом Чероки, штат Джорджия, на обслуживание и модернизацию службы безопасности центра 911. Он выполнил несколько сканирований портов на серверах округа Чероки, чтобы проверить их безопасность, и в конечном итоге просканировал порты веб-сервера, контролируемого другой ИТ-компанией, что спровоцировало размолвку, которая закончилась рассмотрением в трибунале. Он был оправдан в 2000 году по решению судьи Томаса Трэша по делу Моултон против VC3 ( Северная Дакота, 2000 год). ^[18] что не было никаких повреждений, нарушающих целостность и доступность сети. ^[19]

См. также [ править ]

Ссылки [ править ]

^ Ширей, Р. (август 2007 г.). Глоссарий по интернет-безопасности . 2. IETF . п. 230. дои : 10.17487/RFC4949 . РФК 4949 . Проверено 21 ноября 2023 г.
^ «PRB: незащищенный SQL-сервер с пустым (NULL) паролем SA делает уязвимость для червя» . support.microsoft.com . Архивировано из оригинала 3 марта 2006 г.
^ Перейти обратно: ^а ^б ^с ^д ^Это ^ж Эриксон, Джон (2008). Хакерство: искусство эксплуатации (2-е изд.). Сан-Франциско : Пресса без крахмала . п. 264. ИСБН 978-1-59327-144-2 .
^ Мессер, Джеймс (2007). Секреты сетевой картографии: полное руководство по Nmap (2-е изд.). Архивировано из оригинала 16 мая 2016 г. Проверено 5 декабря 2011 г.
^ Команды сканирования портов . Архивировано из оригинала 10 февраля 2023 г. Проверено 10 февраля 2023 г.
^ Перейти обратно: ^а ^б «Методы сканирования портов» . Справочное руководство по Nmap . 2001 . Проверено 7 мая 2009 г.
^ Мессер, Джеймс (2007). Секреты сетевой картографии: полное руководство по Nmap (2-е изд.). Архивировано из оригинала 1 февраля 2006 г. Проверено 5 декабря 2011 г.
^ Маймон, Уриэль (8 ноября 1996 г.). «Сканирование портов без флага SYN» . Фрак выпуск 49 . Проверено 8 мая 2009 г.
^ «Политика приемлемого использования Comcast» . Комкаст. 01 января 2009 г. Архивировано из оригинала 23 апреля 2009 г. Проверено 7 мая 2009 г.
^ «Условия для клиентов BigPond» (PDF) . Тельстра. 06.11.2008. Архивировано из оригинала (PDF) 26 января 2009 г. Проверено 8 мая 2009 г.
^ Джеймисон, Шон (08 октября 2001 г.). «Этика и законность сканирования портов» . САНС . Проверено 8 мая 2009 г.
^ Кукье, Мишель (2005). «Количественная оценка компьютерной безопасности» (PDF) . Университет Мэриленда. Архивировано из оригинала (PDF) 24 августа 2009 г. Проверено 8 мая 2009 г.
^ Достопочтенный. Авраам Н. Тенненбаум (29 февраля 2004 г.). «Приговор по делу Ави Мизрахи против прокуратуры полиции Израиля» (PDF) . Архивировано из оригинала (PDF) 7 октября 2009 г. Проверено 8 мая 2009 г.
^ Эса Халмари (2003). «Первое решение Верховного суда Финляндии о попытке взлома» . Проверено 7 мая 2009 г.
^ Парламент Великобритании (25 января 2006 г.). «Законопроект о полиции и правосудии - Законопроект 119» . Парламент Великобритании . Проверено 5 декабря 2011 г.
^ Лейден, Джон (2 января 2008 г.). «Правительство Великобритании устанавливает правила запрета хакерских инструментов» . Регистр . Проверено 8 мая 2009 г.
^ «Пресс-релиз 3096-го заседания Совета» (PDF) . Совет Европейского Союза. 10 июня 2011 г. Проверено 5 декабря 2011 г.
^ Самсон, Мартин. «Скотт Моултон и Network Installation Computer Services, Inc. против VC3» . Интернет-библиотека по праву и судебным решениям . Проверено 29 апреля 2021 г.
^ Поулсен, Кевин (18 декабря 2000 г.). «Сканирование портов законно, говорит судья» . БезопасностьФокус . Проверено 8 мая 2009 г.

Внешние ссылки [ править ]

Тео, Лоуренс (декабрь 2000 г.). Объяснение сетевых зондов: понимание сканирования портов и пинг-проверок. Linux Journal, получено 5 сентября 2009 г. с сайта Linuxjournal.com.

[1] Ширей, Р. (август 2007 г.). Глоссарий по интернет-безопасности . 2. IETF . п. 230. дои : 10.17487/RFC4949 . РФК 4949 . Проверено 21 ноября 2023 г.

[2] «PRB: незащищенный SQL-сервер с пустым (NULL) паролем SA делает уязвимость для червя» . support.microsoft.com . Архивировано из оригинала 3 марта 2006 г.

[ERIK77-3] Перейти обратно: ^а ^б ^с ^д ^Это ^ж Эриксон, Джон (2008). Хакерство: искусство эксплуатации (2-е изд.). Сан-Франциско : Пресса без крахмала . п. 264. ИСБН 978-1-59327-144-2 .

[profmesser1-4] Мессер, Джеймс (2007). Секреты сетевой картографии: полное руководство по Nmap (2-е изд.). Архивировано из оригинала 16 мая 2016 г. Проверено 5 декабря 2011 г.

[portscanner-5] Команды сканирования портов . Архивировано из оригинала 10 февраля 2023 г. Проверено 10 февраля 2023 г.

[nmapguide-6] Перейти обратно: ^а ^б «Методы сканирования портов» . Справочное руководство по Nmap . 2001 . Проверено 7 мая 2009 г.

[profmesser2-7] Мессер, Джеймс (2007). Секреты сетевой картографии: полное руководство по Nmap (2-е изд.). Архивировано из оригинала 1 февраля 2006 г. Проверено 5 декабря 2011 г.

[8] Маймон, Уриэль (8 ноября 1996 г.). «Сканирование портов без флага SYN» . Фрак выпуск 49 . Проверено 8 мая 2009 г.

[9] «Политика приемлемого использования Comcast» . Комкаст. 01 января 2009 г. Архивировано из оригинала 23 апреля 2009 г. Проверено 7 мая 2009 г.

[10] «Условия для клиентов BigPond» (PDF) . Тельстра. 06.11.2008. Архивировано из оригинала (PDF) 26 января 2009 г. Проверено 8 мая 2009 г.

[11] Джеймисон, Шон (08 октября 2001 г.). «Этика и законность сканирования портов» . САНС . Проверено 8 мая 2009 г.

[12] Кукье, Мишель (2005). «Количественная оценка компьютерной безопасности» (PDF) . Университет Мэриленда. Архивировано из оригинала (PDF) 24 августа 2009 г. Проверено 8 мая 2009 г.

[13] Достопочтенный. Авраам Н. Тенненбаум (29 февраля 2004 г.). «Приговор по делу Ави Мизрахи против прокуратуры полиции Израиля» (PDF) . Архивировано из оригинала (PDF) 7 октября 2009 г. Проверено 8 мая 2009 г.

[14] Эса Халмари (2003). «Первое решение Верховного суда Финляндии о попытке взлома» . Проверено 7 мая 2009 г.

[15] Парламент Великобритании (25 января 2006 г.). «Законопроект о полиции и правосудии - Законопроект 119» . Парламент Великобритании . Проверено 5 декабря 2011 г.

[16] Лейден, Джон (2 января 2008 г.). «Правительство Великобритании устанавливает правила запрета хакерских инструментов» . Регистр . Проверено 8 мая 2009 г.

[17] «Пресс-релиз 3096-го заседания Совета» (PDF) . Совет Европейского Союза. 10 июня 2011 г. Проверено 5 декабря 2011 г.

[moulton-vc3-18] Самсон, Мартин. «Скотт Моултон и Network Installation Computer Services, Inc. против VC3» . Интернет-библиотека по праву и судебным решениям . Проверено 29 апреля 2021 г.

[19] Поулсен, Кевин (18 декабря 2000 г.). «Сканирование портов законно, говорит судья» . БезопасностьФокус . Проверено 8 мая 2009 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]