端口掃描的需求
IP 位址對於透過網路路由流量至關重要。IP位址唯一地識別封包應路由到的裝置。但是,知道特定計算機應接收數據包並不足以實現它到達目的地。 一台電腦可以同時運行許多不同的應用程序,並且多個應用程式可能同時透過網路發送和接收流量。
TCP 和 UDP 通訊協定定義電腦上連接埠的概念。 應用程式可以發送流量並偵聽特定連接埠。IP 位址和連接埠的組合使路由裝置和端點能夠確保流量到達預期的應用程式。
端口掃描器如何運作?
通訊埠掃描器 (例如 nmap) 通過將流量傳送到特定連接埠並檢查結果來運作。 如果連接埠已開啟、關閉或由 A 篩選 網路安全防護 解決方案,它將以不同的方式回應端口掃描,包括:
- 開放時間: 應用程式偵聽流量的開放連接埠應該響應合法請求。例如,接收 TCP SYN 封包的開放連接埠應該以 SYN/ACK 回應。
- 休息日: 如果連接埠已關閉,則嘗試與連接埠通訊會被電腦視為錯誤。 傳送至封閉連接埠的 TCP SYN 封包應該會產生 RST (重設) 封包。
- 已篩選: 某些連接埠可能被防火牆過濾或 入侵防禦系統 (IPS)。 傳送到這些連接埠的封包可能不會收到任何回應。
不同的電腦會以不同的方式回應不同的封包。 此外,某些類型的端口掃描比其他類型更明顯。 因此,端口掃描器可能會使用各種掃描技術。
一些更常見的連接埠掃描類型包括:
- Ping 掃描: 最簡單的掃描類型,ping 掃描將 ping 請求發送到計算機並查找 ping 響應。 此掃描可以判斷電腦是否在線上且可連線。
- SYN 掃描: SYN 封包是 TCP 握手中的第一步,開啟的連接埠將使用 SYN-ACK 回覆。 在 SYN 或 TCP 半開放掃描中,連接埠掃描器不會使用最終 ACK 完成握手,因此不會開啟完整的 TCP 連線。
- TCP 連線掃描: TCP 連線掃描完成完整的 TCP 握手。 建立連線後,掃描器會正常將其拆卸。
- UDP 掃描: UDP 掃描檢查連接埠是否監聽 UDP 流量。 這些可以識別 DNS 和其他基於 UDP 的服務。
- 聖誕節和 FIN 掃描: XMAS 和 FIN 掃描通過具有無效標誌組合的封包來破壞 TCP 標準。 不同的系統以不同的方式對這些資料包做出反應,因此這些掃描可以揭示目標系統的詳細資訊以及它是否受到防火牆的保護。
- FTP 反彈掃描: FTP 通訊協定允許代理 FTP 連線,其中伺服器會代表用戶端與其他伺服器建立 FTP 連線。 FTP 反彈掃瞄使用此功能間接執行連接埠掃瞄。
連接埠掃描可以提供有關目標系統的豐富資訊。 除了識別系統是否在線上以及哪些連接埠開啟之外,連接埠掃描器還可以識別偵聽特定連接埠的應用程式以及主機的作業系統。這些額外資訊可以從系統回應特定類型的請求方式的差異中獲得。
網絡犯罪分子如何使用端口掃描作為攻擊方法?
端口掃描是偵察階段的一個常見步驟 網路攻擊。連接埠掃描提供有關目標環境的寶貴信息,包括在線計算機、在其上運行的應用程式以及有關相關係統及其可能具有的任何防禦措施(防火牆等)的潛在詳細信息。
這些信息在計劃攻擊時可以很有用。 例如,知道某個組織正在運行特定的 Web 或 DNS 伺服器,攻擊者就可以識別出該軟體中潛在的可利用脆弱性。
使用 Check Point 防止連接埠掃描攻擊
連接埠掃描器使用的許多技術都可以在網路流量中偵測到。許多連接埠的流量(其中一些連接埠已關閉)是異常的,可以透過 IPS 等網路安全解決方案進行檢測。此外,防火牆還可以過濾未使用的連接埠或實施存取控制列表,限制提供給連接埠掃描器的資訊。
Check Point’s Check Point IPS provides protection against port scanning and other cyber threats. To learn more about the other threats that Check Point IPS can manage, check out Check Point’s 2023 年網路安全防護報告。也歡迎前往 報名參加免費示範 to see the capabilities of Check Point IPS for yourself.
