端口扫描攻击:这是什么以及如何预防 |
您所在的位置:网站首页 › 端口扫描的类型主要有什么 › 端口扫描攻击:这是什么以及如何预防 |
|
端口扫描用于确定网络上的端口是否打开,以允许接收来自其他设备的数据包,端口有利于网络安全团队帮助加强防御。但该过程也被攻击者利用,攻击者会试图寻找易受攻击的端口。 在深入研究什么是端口扫描攻击以及如何预防和防御它们之前,让我们看看什么是端口和端口扫描。 什么是端口?端口是一个通信端点,数据单元(称为数据包)通过它传输。传输层协议使用端口号进行通信和交换数据包。最著名的传输层协议是传输控制协议(TCP),一种面向连接的协议,在发送数据之前需要建立连接,以及用户数据报协议(UDP),一种无连接协议,不需要建立双向连接即可开始通信。 TCP和UDP使用的每个端口都与特定的进程或服务相关联。端口号从0到65535不等,跨网络连接设备标准化。端口0在TCP/IP网络中保留,不应在TCP或UDP消息中使用。端口1至1023是众所周知的端口,由互联网号码分配机构(IANA)定义,用作互联网协议的默认值。 1024至29151的端口号为在IANA注册的端口预留,以便与特定协议相关联。49152至65535范围内的端口是根据需要用于处理动态连接的临时端口。 最常用的端口包括以下: TCP端口80和UDP端口80用于HTTP。 TCP端口443和UDP端口443用于HTTPS。 TCP端口465用于邮件服务器,例如SMTP。 TCP端口53和UDP端口53用于DNS。 什么是端口扫描,它用于什么?端口扫描是指某些别有用心的人发送一组消息,以了解给定计算机提供的计算机网络服务。 端口扫描仪是应用程序,它可识别互联网连接设备上哪些端口和服务是打开还是关闭。端口扫描仪可以向所有65,536个端口的目标计算机发送连接请求,并记录哪些端口响应以及如何响应。从端口收到的响应类型表明它们是否在使用。 企业防火墙通过以下三种方式回复端口扫描: 打开。如果端口是打开的,或者正在监听,它会响应请求。 关闭。关闭的端口会回复一条消息,表明它收到了打开的请求,但拒绝了。这样,当真正的系统发送开放请求时,它知道请求已收到,但无需继续重试。然而,这种反应也揭示了扫描的IP地址后面存在一台计算机。 没有响应。也称为过滤或删除,这既不涉及承认请求,也不涉及发送回复。端口扫描仪没有响应,表明防火墙可能过滤了请求数据包,端口被阻止或那里没有端口。例如,如果端口被阻止或处于隐身模式,防火墙不会响应端口扫描仪。有趣的是,被阻止的端口违反了TCP/IP行为规则,因此,防火墙必须阻止计算机的关闭端口回复。安全团队甚至可能会发现公司防火墙并没有阻止所有网络端口。例如,如果识别协议使用的端口113被完全阻止,与一些远程互联网服务器(如互联网中继聊天)的连接可能会被延迟或完全拒绝。出于这个原因,很多防火墙规则将端口113设置为关闭,而不是完全阻止它。端口扫描的总体目标是绘制系统的操作系统及其运行的应用程序和服务,以了解其保护措施以及可能存在和可利用的漏洞。 端口扫描的类型由于TCP和UDP是最常用的传输层协议,它们通常用于端口扫描。 根据设计,TCP发送确认(ACK)数据包,让发件人知道是否已收到数据包。如果信息未收到、被拒绝或错误收到,则发送否定ACK或NACK数据包。另一方面,UDP在收到数据包时不会发送ACK;如果未收到信息,它只会响应“ICMP[互联网控制消息协议]端口无法到达”的消息。 因此,存在几种类型的端口扫描技术,包括以下: Ping扫描或sweep扫描,这会扫描几台计算机上的同一端口,以查看它们是否处于活动状态。这涉及发送ICMP回声请求,以查看哪些计算机响应。 TCP SYN扫描或TCP半开扫描是最常见的端口扫描类型之一。它涉及发送TCP同步数据包以启动通信,但不会完成连接。 TCP连接,也称为 vanilla扫描,就像TCP SYN扫描,因为它发送TCP SYN数据包来启动通信,但此扫描通过发送ACK来完成连接。 strobe扫描是尝试仅连接到选定的端口,通常少于20个。 UDP扫描查找打开的UDP端口。 在FTP弹跳扫描中,FTP服务器用于扫描其他主机。通过FTP服务器进行的扫描尝试掩盖了端口扫描仪的源地址。 在碎片化扫描中,TCP头被分成几个数据包,以防止被防火墙检测到。 隐形扫描涉及几种扫描技术,试图防止记录连接请求。 什么是端口扫描攻击?端口扫描不一定表明是网络攻击。重要的是要知道为什么收集端口扫描信息以及它用于什么。 作为侦察过程的一部分,端口扫描是恶意行为者使用的一种流行的信息收集方法。攻击者可以使用通过端口扫描收集的数据来了解设备正在运行哪些服务,并了解正在使用的操作系统。然后,这些数据可以帮助攻击者标记易受攻击的系统,意图利用它们来访问网络。 安全团队和渗透测试人员还使用端口扫描数据来识别漏洞、网络上可能需要关注的新设备、潜在的配置错误以及安全覆盖范围的其他漏洞,以加强防御。 当路由器报告多次定期发生暴力探测时,路由器会记录来自端口扫描仪的端口请求。这可能是恶意的,也可能不是恶意的,因为大多数面向互联网的系统每天都会被扫描。 端口扫描的做法和互联网一样古老。虽然协议随着时间的推移而变化,安全工具和系统多年来不断发展,但检测和关注端口扫描警报仍然很重要,特别是当并非安全团队在扫描自己的系统时。 如何检测端口扫描攻击企业必须先检测到端口扫描攻击,然后才能阻止。当正确安装和配置时,现代安全设备通过跟踪访问本地网络中系统的尝试,可以有效地检测端口扫描。 大多数安全设备可以关联来自同一来源的持续重复扫描尝试,无论是针对单个主机还是多台主机。为了确保有效,端口扫描攻击可能需要在相对较短的时间内探测很多不同系统上的很多不同端口,这使得尝试更容易检测。 为了防止被检测,有些攻击者可能会在更长的时间范围内探测开放端口,在这种情况下,检测端口扫描攻击变得更加困难。然而,攻击者的缺点是,可能需要数小时、数天或更长时间才能找到一个易受攻击的系统。 如何预防和阻止网络中的端口扫描阻止端口扫描的行为是不可能的。任何人都可以选择一个IP地址并扫描它,以查找打开的端口。 为了保护企业网络,安全团队应该通过运行自己的扫描来了解攻击者在网络端口扫描期间会发现什么。然而,请注意,针对很多云托管服务(例如AWS)的安全评估和渗透测试在扫描之前需要批准。 当安全管理员发现哪些端口响应为打开,他们就可以审查这些端口是否需要从公司网络外部访问。如果没有,安全管理员应该关闭它们或阻止它们。如果认为有必要使用开放端口,管理员应开始研究网络对哪些漏洞和利用,并应用适当的补丁来保护网络。 某些类型的防火墙使用自适应行为,这意味着如果可疑的IP地址正在探测它们,它们会自动阻止以前打开和关闭的端口。如果管理员检测到来自单个主机的广泛端口的连接请求,防火墙也可以配置为提醒管理员。然而,攻击者可以通过在频闪或隐身模式下进行端口扫描来绕过这种保护。 企业应始终配置防火墙和入侵检测系统,以发现和阻止不寻常的连接尝试和请求。例如,在端口扫描完成后,攻击者可能会发起一些探测攻击,以验证其先前的调查结果或获得额外信息以完善其主要攻击。将异常活动输入SIEM系统可以提供实时反馈,并改善对事件的自动响应。 端口扫描工具现在有各种工具可执行端口扫描,包括以下内容: Advanced Port Scanner. Angry IP Scanner. Metasploit. Netcat. NetScanTools. Nmap. SolarWinds Port Scanner. Unicornscan.我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。 我原创,你原创,我们的内容世界才会更加精彩! 【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】 微信公众号 TechTarget 官方微博 TechTarget中国 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |