Quét cổng là gì? Nó tương tự như một tên trộm đi qua khu phố của bạn và kiểm tra mọi cánh cửa và cửa sổ trên mỗi ngôi nhà để xem cái nào đang mở và cái nào đang bị khóa.
TCP ( Transmission Control Protocol ) và UDP (User Datagram Protocol) là hai giao thức tạo nên bộ giao thức TCP / IP được sử dụng phổ biến để giao tiếp trên Internet. Mỗi cổng này có cổng từ 0 đến 65535, vì vậy về cơ bản có hơn 65.000 cửa khóa.
1024 cổng TCP đầu tiên được gọi là Cổng nổi tiếng và được kết hợp với các dịch vụ chuẩn như FTP, HTTP, SMTP hoặc DNS . Một số địa chỉ trên 1023 cũng có các dịch vụ thường được liên kết, nhưng phần lớn các cổng này không được liên kết với bất kỳ dịch vụ nào và có sẵn cho một chương trình hoặc ứng dụng để sử dụng để giao tiếp.
Cách hoạt động của quét cổng
Phần mềm quét cổng, trong trạng thái cơ bản nhất của nó, chỉ cần gửi một yêu cầu kết nối tới máy tính mục tiêu trên mỗi cổng tuần tự và ghi lại các cổng nào trả lời hoặc có vẻ mở để thăm dò sâu hơn.
Nếu quá trình quét cổng đang được thực hiện với mục đích độc hại, thì kẻ xâm nhập thường muốn không bị phát hiện. Các ứng dụng bảo mật mạng có thể được cấu hình để cảnh báo các quản trị viên nếu chúng phát hiện các yêu cầu kết nối trên một loạt các cổng từ một máy chủ duy nhất. Để giải quyết vấn đề này, kẻ xâm nhập có thể thực hiện quét cổng ở chế độ nhấp nháy hoặc ẩn. Strobing giới hạn các cổng vào một bộ đích nhỏ hơn là chăn quét tất cả 65536 cổng. Quét ẩn sẽ sử dụng các kỹ thuật như làm chậm quá trình quét. Bằng cách quét các cổng trong một khoảng thời gian lâu hơn, bạn giảm cơ hội mục tiêu sẽ kích hoạt cảnh báo.
Bằng cách thiết lập các cờ TCP khác nhau hoặc gửi các kiểu gói TCP khác nhau, việc quét cổng có thể tạo ra các kết quả khác nhau hoặc định vị các cổng mở theo các cách khác nhau. Quét SYN sẽ cho máy quét cổng biết cổng nào đang nghe và không phụ thuộc vào loại phản hồi được tạo ra. Một quét FIN sẽ tạo ra một phản hồi từ các cổng đóng - nhưng các cổng đang mở và lắng nghe sẽ không gửi phản hồi, do đó, máy quét cổng sẽ có thể xác định cổng nào đang mở và các cổng nào không.
Có một số phương pháp khác nhau để thực hiện quét cổng thực tế cũng như các thủ thuật để ẩn nguồn thực sự của quét cổng. Bạn có thể đọc thêm về một số điều này bằng cách truy cập vào các trang web này: Giải pháp quét cổng hoặc dò tìm mạng được giải thích.
Làm thế nào để giám sát cho Port Scans
Có thể giám sát mạng của bạn để quét cổng. Bí quyết, như với hầu hết mọi thứ trong bảo mật thông tin , là tìm sự cân bằng giữa hiệu suất mạng và an toàn mạng. Bạn có thể giám sát việc quét SYN bằng cách đăng nhập bất kỳ nỗ lực nào để gửi gói SYN đến một cổng không mở hoặc đang nghe. Tuy nhiên, thay vì được cảnh báo mỗi khi có một nỗ lực duy nhất xảy ra - và có thể bị đánh thức vào giữa đêm vì một sai lầm vô tội khác - bạn nên quyết định ngưỡng để kích hoạt cảnh báo. Ví dụ, bạn có thể nói rằng nếu có nhiều hơn 10 gói SYN cố gắng đến các cổng không nghe trong một phút nhất định thì một cảnh báo sẽ được kích hoạt. Bạn có thể thiết kế bộ lọc và bẫy để phát hiện một loạt các phương pháp quét cổng - xem tăng đột biến trong các gói FIN hoặc chỉ một số lượng cố định kết nối đến nhiều cổng và / hoặc địa chỉ IP từ một nguồn IP duy nhất.
Để giúp đảm bảo rằng mạng của bạn được bảo vệ và bảo mật, bạn có thể thực hiện quét cổng riêng của mình. Một báo trước chính ở đây là để đảm bảo bạn có sự chấp thuận của tất cả các quyền hạn được trước khi bắt tay vào dự án này vì sợ bạn thấy mình ở phía bên trái của pháp luật. Để có kết quả chính xác, tốt nhất là thực hiện quét cổng từ một vị trí từ xa bằng thiết bị không phải của công ty và một ISP khác . Sử dụng phần mềm như NMap, bạn có thể quét một loạt địa chỉ IP và cổng và tìm hiểu xem kẻ tấn công sẽ thấy gì nếu họ quét cổng mạng của bạn. NMap, đặc biệt, cho phép bạn kiểm soát hầu hết mọi khía cạnh của quá trình quét và thực hiện các loại quét cổng khác nhau để phù hợp với nhu cầu của bạn.
Khi bạn tìm ra cổng nào đáp ứng khi mở cổng quét mạng của riêng bạn, bạn có thể bắt đầu làm việc để xác định xem nó có thực sự cần thiết cho những cổng đó có thể truy cập từ bên ngoài mạng của bạn hay không. Nếu họ không cần thiết, bạn nên tắt chúng hoặc chặn chúng. Nếu cần thiết, bạn có thể bắt đầu nghiên cứu những loại lỗ hổng và khai thác mạng của bạn bằng cách truy cập các cổng này và làm việc để áp dụng các bản vá hoặc giảm thiểu thích hợp để bảo vệ mạng của bạn càng nhiều càng tốt.