ポートスキャンとは何ですか?

ポートスキャナーはどのように動作しますか?

nmapなどのポートスキャナは、特定のポートにトラフィックを送信し、結果を調べることで機能します。 ポートが開いているか、閉じているか、またはポートが ネットワーク セキュリティ ソリューションでは、次のようなさまざまな方法でポートスキャンに応答します。

• 開ける： アプリケーションがトラフィックをリッスンしている開いているポートは、正当な要求に応答する必要があります。 たとえば、TCP SYN パケットを受信するオープン ポートは、SYN/ACK で応答する必要があります。
• クローズド： ポートが閉じている場合、そのポートとの通信の試行は、コンピューターによってエラーと見なされます。 閉じたポートへの TCP SYN パケットは、RST(リセット)パケットになります。
• フィルター： 一部のポートは、ファイアウォールまたはファイアウォールによってフィルタリングされる場合があります。 侵入防止システム (IPS)です。 これらのポートに送信されたパケットは、応答を受信しない可能性があります。

コンピュータが異なれば、パケットに対する応答方法も異なります。 また、ポートスキャンの種類によっては、他の種類よりも明白です。 このため、ポートスキャナはさまざまなスキャン技術を使用する場合があります。 

ポートスキャンの一般的なタイプには、次のようなものがあります。

• Pingスキャン: 最も単純なタイプのスキャンである ping スキャンは、ping 要求をコンピューターに送信し、ping 応答を探します。 このスキャンでは、コンピューターがオンラインで到達可能かどうかを判断できます。
• SYNスキャン: SYNパケットはTCPハンドシェイクの最初のステップであり、開いているポートはSYN-ACKで応答します。 SYNまたはTCPハーフオープンスキャンでは、ポートスキャナは最後のACKとのハンドシェイクを完了しないため、完全なTCP接続は開かれません。
• TCP接続スキャン: TCP接続スキャンは、完全なTCPハンドシェイクを完了します。 接続が確立されると、スキャナーは通常どおり切断します。
• UDPスキャン: UDPスキャンは、UDPトラフィックをリッスンするポートをチェックします。 これらは、DNSやその他のUDPベースのサービスを識別できます。
• XMASおよびFINスキャン: XMASスキャンとFINスキャンは、フラグの無効な組み合わせを持つパケットによってTCP標準を破ります。 システムが異なれば、これらのパケットに対する反応も異なるため、これらのスキャンにより、ターゲットシステムの詳細と、ファイアウォールで保護されているかどうかが明らかになります。
• FTPバウンススキャン: FTPプロトコルは、サーバーがクライアントに代わって別のサーバーへのFTP接続を行うプロキシFTP接続を可能にします。 FTP バウンス・スキャンでは、この機能を使用してポート・スキャンを間接的に実行します。

ポート・スキャンは、ターゲット・システムに関する豊富な情報を提供します。 ポートスキャナは、システムがオンラインかどうか、どのポートが開いているかを識別するだけでなく、特定のポートをリッスンしているアプリケーションやホストのオペレーティングシステムも識別できます。 この追加情報は、システムが特定の種類の要求に応答する方法の違いから収集できます。

チェック・ポイントによるポートスキャン攻撃の防止

ポートスキャナで使用される手法の多くは、ネットワークトラフィックで検出できます。 多くのポートへのトラフィックは異常であり、その一部は閉じられており、IPSなどのネットワークセキュリティソリューションによって検出できます。 また、ファイアウォールは、未使用のポートをフィルタリングしたり、ポートスキャナに提供される情報を制限するアクセス制御リストを実装したりできます。

Check Point’s Check Point IPS provides protection against port scanning and other cyber threats. To learn more about the other threats that Check Point IPS can manage, check out Check Point’s 2023 サイバーセキュリティレポート.あなたも大歓迎です 無料デモに申し込む to see the capabilities of Check Point IPS for yourself.