Hemsida » hur » HTG förklarar vad som är portscanning?

    HTG förklarar vad som är portscanning?

    En portskanning är lite som att jiggla en massa dörrknappar för att se vilka dörrar som är låsta. Skannern lär sig vilka portar på en router eller brandvägg som är öppna och kan använda den här informationen för att hitta ett datorsystems potentiella svagheter.

    Vad är en hamn?

    När en enhet ansluter till en annan enhet via ett nätverk anger det ett TCP- eller UDP-portnummer från 0 till 65535. Vissa portar används emellertid oftare. TCP-portar 0 till 1023 är "välkända portar" som tillhandahåller systemtjänster. Till exempel är port 20 FTP-filöverföringar, port 22 är Secure Shell (SSH) -anslutningar, port 80 är standard HTTP-webtrafik och port 443 är krypterad HTTPS. Så när du ansluter till en säker webbplats, pratar din webbläsare med den webbserver som lyssnar på port 443 på den servern.

    Tjänster behöver inte alltid köras på dessa specifika portar. Till exempel kan du köra en HTTPS-webbserver på port 32342 eller en Secure Shell-server på port 65001, om du gillade det. Dessa är bara standardinställningarna.

    Vad är en Port Scan?

    En portsökning är en process för att kontrollera alla portar vid en IP-adress för att se om de är öppna eller stängda. Portscanningsprogrammet skulle kontrollera port 0, port 1, port 2 och hela vägen till port 65535. Den gör det genom att bara skicka en förfrågan till varje port och fråga om ett svar. I sin enklaste form frågar portskanningsprogrammet om varje port, en i taget. Fjärrsystemet svarar och säger om en port är öppen eller stängd. Den som kör portsökningen skulle då veta vilka portar som är öppna.

    Några nätverks brandväggar i vägen kan blockera eller på annat sätt släppa trafik, så en portsökning är också en metod för att hitta vilka portar som kan nås eller exponeras för nätverket på det fjärranslutna systemet.

    Nmap-verktyget är ett vanligt nätverksverktyg som används för portscanning, men det finns många andra portscanningverktyg.

    Varför körs folkportsskanningar?

    Portskanningar är användbara för att bestämma systemets sårbarheter. En portsökning skulle berätta för en angripare vilka portar är öppna på systemet, och det skulle hjälpa dem att formulera en plan för attack. Om exempelvis en SSH-server (Secure Shell) upptäcktes som att lyssna på port 22 kan attackeren försöka ansluta och kontrollera om svaga lösenord. Om en annan typ av server lyssnar på en annan port kan angriparen peka på den och se om det finns en bugg som kan utnyttjas. Kanske går en gammal version av programvaran och det finns ett känt säkerhetshål.

    Dessa typer av skanningar kan också hjälpa till att upptäcka tjänster som körs på icke-standardportar. Så om du kör en SSH-server på port 65001 istället för port 22 kommer portsökningen att avslöja detta och angriparen kan försöka ansluta till din SSH-server på den porten. Du kan inte bara gömma en server på en icke-standardport för att säkra ditt system, även om det gör servern svårare att hitta.

    Portskanningar används inte bara av angripare. Portskanningar är användbara för defensiv penetrerande testning. En organisation kan skanna sina egna system för att bestämma vilka tjänster som utsätts för nätverket och se till att de konfigureras på ett säkert sätt.

    Hur farligt är portskanningar?

    En portsökning kan hjälpa en angripare att hitta en svag punkt att attackera och bryta sig in i ett datorsystem. Det är dock bara det första steget. Bara för att du har hittat en öppen port betyder inte att du kan attackera den. Men när du har hittat en öppen port som kör en lyssningstjänst kan du skanna den för sårbarheter. Det är den verkliga faran.

    På ditt hemnätverk har du nästan säkert en router som sitter mellan dig och Internet. Någon på Internet skulle bara kunna portskanna din router, och de skulle inte hitta något bortsett från potentiella tjänster på routern själv. Den routern fungerar som en brandvägg, om du inte har vidarebefordrat enskilda portar från din router till en enhet, i vilket fall de specifika portarna utsätts för Internet.

    För datorservrar och företagsnätverk kan brandväggar konfigureras för att upptäcka portskanningar och blockera trafik från den adress som skannar. Om alla tjänster som utsätts för internet är säkert konfigurerade och inga kända säkerhetshål, bör portskanningar inte ens vara för skrämmande.

    Typ av portskanningar

    I en "TCP Full Connection" -portsökning skickar skannern ett SYN-meddelande (anslutningsförfrågan) till en port. Om porten är öppen svarar fjärrsystemet med ett SYN-ACK-meddelande (bekräftelse). Skannern än svarar med sitt eget ACK-meddelande (bekräftelse). Det här är en full TCP-anslutningshandskakning och skannern vet att systemet accepterar anslutningar på en port om denna process äger rum.

    Om porten är stängd, svarar fjärrsystemet med ett RST-meddelande (återställ). Om fjärrsystemet inte är närvarande på nätverket kommer det inte att finnas något svar.

    Vissa skannrar utför en "TCP halv öppen" -sökning. Snarare än att gå igenom en fullständig SYN, SYN-ACK, och sedan ACK-cykeln, skickar de bara en SYN och väntar på ett SYN-ACK eller RST-meddelande som svar. Det finns ingen anledning att skicka en slutlig ACK för att slutföra anslutningen, eftersom SYN-ACK skulle berätta för scannern allt som behövs. Det är snabbare eftersom färre paket måste skickas.

    Andra typer av skanningar innebär att du skickar främling, felaktiga typer av paket och väntar på att se om fjärrsystemet returnerar ett RST-paket som stänger anslutningen. Om det gör, vet skannern att det finns ett fjärrsystem på den platsen och att en viss port är stängd på den. Om inget paket tas emot vet skannern att porten måste vara öppen.

    En enkel portscanning där programvaran begär information om varje port, en efter en, är lätt att upptäcka. Nätverks brandväggar kan enkelt konfigureras för att upptäcka och stoppa detta beteende.

    Det är därför som vissa portscanningstekniker fungerar annorlunda. En portsökning kan till exempel skanna ett mindre antal portar eller kan skanna hela portföljen under en mycket längre period så det skulle vara svårare att detektera.


    Portscans är ett grundläggande, bröd och smör säkerhetsverktyg när det gäller att penetrera (och säkra) datorsystem. Men de är bara ett verktyg som låter angripare hitta hamnar som kan vara utsatta för attack. De ger inte angripare åtkomst till ett system, och ett säkert konfigurerat system kan säkert stå emot en fullständig portsökning utan skada.

    Bildkredit: xfilephotos / Shutterstock.com, Casezy idé / Shutterstock.com.