Hjemmeside » hvordan » HTG forklarer Hvad er portscanning?

    HTG forklarer Hvad er portscanning?

    En portscanning er lidt som at jiggle en flok dørhåndtag for at se, hvilke døre der er låst. Scanneren lærer, hvilke porte på en router eller firewall der er åbne, og kan bruge disse oplysninger til at finde et computersystems potentielle svagheder.

    Hvad er en havn?

    Når en enhed forbinder til en anden enhed via et netværk, angiver det et TCP- eller UDP-portnummer fra 0 til 65535. Nogle porte bruges dog oftere. TCP-porte 0 til 1023 er "velkendte porte", der leverer systemtjenester. For eksempel er port 20 FTP-filoverførsler, port 22 er Secure Shell (SSH) -terminalforbindelser, port 80 er standard HTTP-webtrafik, og port 443 er krypteret HTTPS. Så når du opretter forbindelse til et sikkert websted, taler din webbrowser til den webserver, der lytter på port 443 af den pågældende server.

    Tjenester skal ikke altid køre på disse specifikke porte. For eksempel kan du køre en HTTPS webserver på port 32342 eller en Secure Shell-server på port 65001, hvis du kunne lide det. Dette er bare standardindstillingerne.

    Hvad er en port Scan?

    En portscanning er en proces til at kontrollere alle porte på en IP-adresse for at se om de er åbne eller lukkede. Portscanningsprogrammet kontrollerer port 0, port 1, port 2 og hele vejen igennem til port 65535. Det gør det ved blot at sende en anmodning til hver port og bede om et svar. I sin enkleste form spørger portscanningsoftware om hver port, en ad gangen. Fjernbetjeningen svarer og siger, om en port er åben eller lukket. Den person, der kører portskanningen, vil så vide, hvilke porte der er åbne.

    Ethvert netværk firewalls i vejen kan blokere eller på anden måde tabe trafik, så en port scan er også en metode til at finde ud af hvilke porte der kan nås eller udsættes for netværket på det fjernsystem.

    Nmap-værktøjet er et fælles netværksværktøj, der bruges til portscanning, men der er mange andre port-scanningsværktøjer.

    Hvorfor kører folk portskanninger?

    Port scanninger er nyttige til at bestemme systemets sårbarheder. En portscanning ville fortælle en angriber, hvilke porte der er åbne på systemet, og det ville hjælpe dem med at formulere en plan for angreb. Hvis en SSH-server (Secure Shell) f.eks. Blev registreret som lytter på port 22, kunne angriberen forsøge at forbinde og kontrollere for svage adgangskoder. Hvis en anden type server lytter på en anden port, kan angriberen kaste det og se om der er en fejl, der kan udnyttes. Måske kører en gammel version af softwaren, og der er et kendt sikkerhedshul.

    Disse typer af scanninger kan også hjælpe med at registrere tjenester, der kører på ikke-standardporte. Så hvis du kører en SSH-server på port 65001 i stedet for port 22, vil portscanningen afsløre dette, og angriberen kan forsøge at oprette forbindelse til din SSH-server på den pågældende port. Du kan ikke bare skjule en server på en ikke-standardport for at sikre dit system, selv om det gør serveren sværere at finde.

    Portscanning anvendes ikke kun af angribere. Port scanninger er nyttige til defensive penetrerende test. En organisation kan scanne egne systemer for at afgøre, hvilke tjenester der er udsat for netværket og sikre, at de er konfigureret sikkert.

    Hvor farligt er portskanninger?

    En portscanning kan hjælpe en angriber med at finde et svagt punkt at angribe og bryde ind i et computersystem. Det er dog kun det første skridt. Bare fordi du har fundet en åben havn, betyder det ikke, at du kan angribe det. Men når du har fundet en åben port, der kører en lytningstjeneste, kan du scanne den for sårbarheder. Det er den reelle fare.

    På dit hjemmenetværk har du næsten helt sikkert en router sidder mellem dig og internettet. Nogen på internettet ville kun kunne port-scan din router, og de ville ikke finde noget bortset fra potentielle tjenester på routeren selv. Denne router fungerer som en firewall, medmindre du har videresendt individuelle porte fra din router til en enhed, i hvilket tilfælde disse specifikke porte udsættes for internettet.

    Til computerservere og virksomhedens netværk kan firewalls konfigureres til at registrere portscanninger og blokere trafik fra den adresse, der scannes. Hvis alle de tjenester, der er udsat for internettet, er sikkert konfigureret og ikke har nogen kendt sikkerhedshull, bør portscanning ikke engang være for skræmmende.

    Typer af portscanninger

    I en "TCP full connection" port scanning, sender scanneren en SYN (forbindelsesanmodning) besked til en port. Hvis porten er åben, svarer fjernsystemet med en SYN-ACK (bekræftelse) besked. Scanneren end reagerer med sin egen ACK (bekræftelse) besked. Dette er et fuldt TCP-forbindelseshåndtryk, og scanneren ved, at systemet accepterer forbindelser på en port, hvis denne proces finder sted.

    Hvis porten er lukket, svarer fjernbetjeningen med en RST-meddelelse (reset). Hvis fjernsystemet ikke er til stede på netværket, vil der ikke være noget svar.

    Nogle scannere udfører en "TCP halv-åben" scanning. I stedet for at gennemgå en fuld SYN, SYN-ACK og derefter ACK-cyklus, sender de bare en SYN og venter på en SYN-ACK eller RST-meddelelse som svar. Der er ingen grund til at sende en endelig ACK for at fuldføre forbindelsen, da SYN-ACK ville fortælle scanneren alt, hvad den behøver at vide. Det er hurtigere, fordi færre pakker skal sendes.

    Andre typer af scanninger indebærer at sende fremmede, malformede typer af pakker og venter på at se, om fjernsystemet returnerer en RST-pakke, der lukker forbindelsen. Hvis det gør, ved scanneren, at der er et fjernsystem på den pågældende placering, og at en bestemt port er lukket på den. Hvis der ikke modtages nogen pakke, ved scanneren at porten skal være åben.

    En simpel portscanning, hvor softwaren anmoder om oplysninger om hver port, en efter en, er let at få øje på. Netværks firewalls kan let konfigureres til at opdage og stoppe denne adfærd.

    Derfor arbejder nogle portscanningsteknikker forskelligt. For eksempel kan en portscanning scanne et mindre udvalg af porte eller kunne scanne hele spektret af havne over en meget længere periode, så det ville være sværere at opdage.


    Portscanning er et grundlæggende sikkerhedsredskab til brød og smør, når det kommer til penetrerende (og sikrende) computersystemer. Men de er bare et værktøj, der gør det muligt for angriberne at finde porte, der kan være sårbare over for angreb. De giver ikke en hacker adgang til et system, og et sikkert konfigureret system kan helt sikkert modstå en fuld port scan uden skade.

    Billedkredit: xfilephotos / Shutterstock.com, Casezy idé / Shutterstock.com.