根据这一点 SANS研究所,端口扫描是最受欢迎的技术攻击者之一,用于发现他们可以利用它们闯入系统的服务。虽然端口扫描并不本质上是敌对的,但是在尝试渗透网络或窃取/破坏敏感数据时,黑客使用的侦察侦察的第一步。在本文中,我们将讨论一些最佳实践,以便抵御攻击者并防止潜力 网络违规.

我们在哪里开始?

要进行端口扫描,必须首先有一个活动主机列表。网络扫描是发现网络上的所有活动主机并将这些主机映射到其IP地址的过程。使用活动主机列表,端口扫描,将数据包发送到主机上的特定端口并分析响应以了解其运行服务或识别潜在漏洞的详细信息。

更多关于网络扫描主机发现的

确定系统上运行和侦听网络的过程称为主机 发现。这通常是黑客在敌对攻击中使用的第一步。主机发现有两个主要协议:地址解析协议(ARP)扫描,以及各种形式的Internet控制消息协议(ICMP)扫描。

ARP扫描是将IP地址映射到本地子网上的MAC地址的过程。 ARP请求可以向本地网络(LAN)上的所有IP地址发送,以确定哪些主机基于以ARP回复响应的那些主机。因为ARP请求仅在LAN内工作,所以这要求潜在的攻击者连接到内部网络。

为了在LAN之外进行网络扫描,有许多不同的ICMP数据包可以使用,例如回声,时间戳和地址掩码请求。回声或ping请求用于检测是否可以达到主机,而时间戳数据包确定两个主机之间的延迟。您可以使用地址掩码请求查找网络上使用的子网掩码。

通过ICMP邮件在网络上发现主机,所有内容都取决于接收来自目标主机的相应回复。如果没有收到响应,则可能意味着目标地址中没有主机,或者目标主机不支持ICMP消息类型。它还可能意味着原始请求被防火墙或数据包过滤器阻止。通常,不源于网络内部的ICMP回声(Ping)请求被防火墙阻止,但时间戳和地址掩码请求不太可能被阻止。

继续前进到端口扫描

既然网络扫描已经完成并编译了可用主机的列表,则端口扫描可用于通过可用主机识别特定端口的在特定端口中使用。端口扫描通常将端口分类为三类中的一个:

打开: 目标主机用指示它在该端口侦听的数据包响应。它还表示用于扫描(通常是TCP或UDP)的服务也在使用。

关闭: 目标主机收到了请求数据包,但回复了回复,表示该端口上没有服务侦听。

过滤:端口扫描将在发送请求数据包但未收到回复时将端口分类为过滤。这通常表示已滤除请求数据包并由防火墙丢弃。

端口扫描方法

TCP和UDP通常是端口扫描中使用的协议,如前所述,并且有几种方法实际执行与这些协议的端口扫描。

最常用的TCP扫描方法是SYN扫描。这涉及通过发送SYN数据包并从主机评估响应来创建与目标端口上的主机的部分连接。如果未通过防火墙过滤或阻止请求数据包,则如果端口已打开或者如果端口关闭,则主机将通过发送SYN / ACK数据包来回复。

另一种TCP扫描方法是TCP连接扫描。这涉及使用TCP Connect系统调用尝试连接到目标主机上的端口并启动完整的TCP握手过程。此过程在数据包方面创造了大量的开销,并且更容易检测,因此使其成为较少利用的端口扫描方法。

其他类型的TCP端口扫描包括NULL,FIN和XMAS。这三种类型的扫描涉及操纵TCP标头标志。 null扫描在其标题中设置没有标记的数据包,而Fin扫描只有鳍位设置。 XMAS扫描数据包具有FIN,PSH和URG标志位,使它们看起来是“像圣诞树一样点亮”。因此,名称XMAS扫描。

UDP扫描如TCP扫描,将UDP数据包发送到目标主机上的各种端口,并评估响应数据包以确定主机上的服务的可用性。与TCP扫描一样,接收响应数据包表示端口是打开的。

正在准备

这些天,网络入侵检测系统和防火墙通常预先配置以检测恶意网络扫描。虽然潜在的攻击者已经变得更智能,并且可以通过改变扫描的频率,从订单中访问港口或欺骗其源地址来避免避免常见的检测规则。保护自己免受能够利用网络中漏洞的恶意网络扫描的最佳方法是确保孔不存在。

了解主机漏洞是整体网络安全的关键组成部分。作为网络工程师,您负责保护您的基础架构免受恶意软件,蠕虫,黑客,特洛伊木马和病毒 - 减少利用的机会,以找到他们的方式是您的使命。

正如往常是这种情况,这里最好的做法是用火灾扫描你自己的网络进行火灾,以便在坏人可以找到它们之前进行漏洞。幸运的是,有各种免费工具让您这样做,包括我们自己 Whatsup Port Scanner..

使用whatsup portscanner,您可以:

•使用ICMP和TCP识别活动主机
•利用多种扫描技术来查找打开的端口
•将扫描配置作为快速访问的收藏夹
•使用包含的已知端口的包含数据库,或自定义它以适合您的环境

portscanner是一个免费的工具,所以如果你’感兴趣的是使用Firsehand体验了解更多有关端口扫描的信息,我建议您下载它并给它拍摄。 您可以在此处下载免费副本。 

Source://blog.ipswitch.com/topic/monitoring