Hjemmeside » hvordan » HTG forklarer Hva er portskanning?

    HTG forklarer Hva er portskanning?

    En portskanning er litt som jiggling en haug med dørknapper for å se hvilke dører som er låst. Skanneren lærer hvilke porter på en ruter eller brannmur som er åpne, og kan bruke denne informasjonen til å finne et datasystems potensielle svakheter.

    Hva er en port?

    Når en enhet kobles til en annen enhet via et nettverk, angir det et TCP- eller UDP-portnummer fra 0 til 65535. Noen porte brukes imidlertid hyppigere. TCP-porter 0 til 1023 er "velkjente porter" som gir systemtjenester. For eksempel er port 20 FTP-filoverføringer, port 22 er Secure Shell (SSH) terminalforbindelser, port 80 er standard HTTP-webtrafikk, og port 443 er kryptert HTTPS. Så når du kobler deg til et sikkert nettsted, snakker nettleseren din til webserveren som lytter på port 443 av den serveren.

    Tjenester trenger ikke alltid å kjøre på disse spesifikke portene. For eksempel kan du kjøre en HTTPS-webserver på port 32342 eller en Secure Shell-server på port 65001, hvis du likte det. Dette er bare standardverdiene.

    Hva er en Port Scan?

    En portskanning er en prosess for å sjekke alle portene på en IP-adresse for å se om de er åpne eller lukkede. Port-skanningsprogramvaren vil sjekke port 0, port 1, port 2 og helt til port 65535. Det gjør dette ved bare å sende en forespørsel til hver port og be om et svar. I sin enkleste form spør portprogrammet om hver port, en om gangen. Fjernsystemet vil svare og si om en port er åpen eller lukket. Personen som kjører portskanningen, vil da vite hvilke porter som er åpne.

    Eventuelle nettverksbrannmurer i veien kan blokkere eller på annen måte slippe trafikk, så en portskanning er også en metode for å finne hvilke porter som kan nås eller eksponeres for nettverket på det eksterne systemet.

    Nmap-verktøyet er et vanlig nettverksverktøy som brukes til portskanning, men det finnes mange andre portskanneverktøy.

    Hvorfor kjører folk portskanninger?

    Portskanninger er nyttige for å bestemme systemets sårbarheter. En portskanning vil fortelle en angriper hvilke porter som er åpne på systemet, og det vil hjelpe dem med å formulere en plan for angrep. For eksempel, hvis en SSH-server (Secure Shell) ble oppdaget som lytter på port 22, kunne angriperen prøve å koble til og sjekke om svake passord. Hvis en annen type server lytter på en annen port, kan angriperen peke på det og se om det er en feil som kan utnyttes. Kanskje en gammel versjon av programvaren kjører, og det er et kjent sikkerhetshull.

    Disse typer skanninger kan også hjelpe med å oppdage tjenester som kjører på ikke-standardporter. Så hvis du kjører en SSH-server på port 65001 i stedet for port 22, vil portskanningen avsløre dette, og angriperen kan prøve å koble til SSH-serveren på den porten. Du kan ikke bare skjule en server på en ikke-standardport for å sikre systemet ditt, selv om det gjør serveren vanskeligere å finne.

    Portskanninger brukes ikke bare av angripere. Portskanninger er nyttige for defensiv penetrerende testing. En organisasjon kan skanne sine egne systemer for å avgjøre hvilke tjenester som er utsatt for nettverket og sikre at de er konfigurert trygt.

    Hvor farlig er portskanninger?

    En portskanning kan hjelpe en angriper å finne et svakt punkt å angripe og bryte inn i et datasystem. Det er bare det første skrittet skjønt. Bare fordi du har funnet en åpen port betyr det ikke at du kan angripe den. Men når du har funnet en åpen port som kjører en lyttetjeneste, kan du skanne den for sårbarheter. Det er den virkelige faren.

    På hjemmenettverket har du ganske sikkert en ruter som sitter mellom deg og Internett. Noen på Internett ville bare kunne skanne ruteren, og de ville ikke finne noe bortsett fra potensielle tjenester på ruteren selv. Den ruteren fungerer som en brannmur, med mindre du har videresendt individuelle porter fra ruteren din til en enhet, og i så fall er de spesifikke porter utsatt for Internett.

    For dataservere og bedriftsnettverk kan brannmurer konfigureres for å oppdage portskanninger og blokkere trafikk fra adressen som skannes. Hvis alle tjenestene som er utsatt for Internett, er sikkert konfigurert og har ingen kjente sikkerhetshull, bør portskanninger ikke engang være for skummelt.

    Typer av portskanninger

    I en "TCP full-tilkobling" port skanning, sender skanneren en SYN (tilkoblingsforespørsel) melding til en port. Hvis porten er åpen, svarer det eksterne systemet med en SYN-ACK-melding (bekreftelse). Skanneren enn svarer med sin egen ACK-melding (bekreftelse). Dette er en full TCP-forbindelsehåndtrykk, og skanneren vet at systemet godtar tilkoblinger på en port hvis denne prosessen finner sted.

    Hvis porten er stengt, svarer det eksterne systemet med en RST-melding (tilbakestilling). Hvis fjernsystemet ikke er til stede på nettverket, blir det ikke noe svar.

    Noen skannere utfører en "TCP halvåpent" skanning. I stedet for å gå gjennom en full SYN, SYN-ACK og deretter ACK-syklus, sender de bare en SYN og venter på en SYN-ACK eller RST-melding som svar. Det er ikke nødvendig å sende en endelig ACK for å fullføre forbindelsen, da SYN-ACK vil fortelle skanneren alt det trenger å vite. Det er raskere fordi færre pakker må sendes.

    Andre typer skanninger innebærer sending av fremmede, feilformede typer pakker og venter på å se om fjernsystemet returnerer en RST-pakke som lukker tilkoblingen. Hvis det gjør det, vet skanneren at det er et eksternt system på den plasseringen, og at en bestemt port er stengt på den. Hvis ingen pakke er mottatt, vet skanneren at porten må være åpen.

    En enkel portscanning hvor programvaren ber om informasjon om hver port, en etter en, er lett å få øye på. Nettverksbrannmurer kan enkelt konfigureres for å oppdage og stoppe denne oppførselen.

    Det er derfor noen portscanningsteknikker fungerer annerledes. For eksempel kan en portsøk skanne et mindre utvalg av porter, eller kunne skanne hele spekteret av porter over en mye lengre periode, så det ville være vanskeligere å oppdage.


    Portskanninger er et grunnleggende, brød-og-smør sikkerhetsverktøy når det gjelder penetrerende (og sikring) datasystemer. Men de er bare et verktøy som lar angripere finne porter som kan være sårbare for angrep. De gir ikke angriper tilgang til et system, og et sikkert konfigurert system kan sikkert motstå en full portskanning uten skade.

    Image Credit: xfilephotos / Shutterstock.com, Casezy idé / Shutterstock.com.