پورت اسکن چیست؟ چگونه از حملات اسکن پورت جلوگیری کنیم؟
اسکن پورت تکنیک رایجی است که هکرها برای کشف درهای باز یا نقاط ضعف شبکه از آن استفاده می کنند. حمله پورت اسکن به مجرمان سایبری کمک می کند تا پورت های باز سیستم قربانی را شناسایی کنند و از این طریق بفهمند که چه سرویس هایی روی کامپیوتر موردنظرشان فعال است. همچنین میتواند نشان دهد که آیا تجهیزات امنیتی فعال مانند فایروالها توسط یک سازمان استفاده میشوند یا خیر.
هنگامی که هکرها پیامی را به یک پورت ارسال میکنند، پاسخی که دریافت میکنند تعیین میکند که آیا از پورت استفاده میشود یا خیر و آیا نقاط ضعف بالقوهای وجود دارد که میتوان از آنها سوء استفاده کرد.
کسبوکارها همچنین میتوانند از تکنیک اسکن پورت برای ارسال پکت ها به پورتهای خاص و تجزیه و تحلیل پاسخها برای هر آسیبپذیری احتمالی استفاده کنند. سپس میتوانند از ابزارهایی مانند اسکن IP، نت مپینگ (Nmap) و Netcat برای اطمینان از ایمن بودن شبکه و سیستمهای خود استفاده کنند.
پورت اسکن می تواند اطلاعاتی از قبیل موارد زیر را نشان دهد :
- خدماتی که در حال اجرا هستند
- کاربرانی که دارای خدمات ویژه هستند
- آیا ورود ناشناس مجاز است یا خیر
- کدام سرویس های شبکه نیاز به احراز هویت دارند
پورت چیست؟
در اصطلاح شبکه، Port نوعی نقطه اتصال الکترونیکی است که از طریق آن دادهها وارد کامپیوتر شده و یا از آن خارج میشوند. به صورت تخصصیتر، پورت به نقطه مجازی میگویند که در آن اتصالات یک شبکه شروع و پایان مییابد. در پورت تبادل اطلاعات بین چندین برنامه و اینترنت به دستگاه ها یا رایانه های دیگر صورت می گیرد. برای اطمینان از سازگاری و سادهسازی فرآیندهای برنامهنویسی، به پورتها شماره پورت اختصاص داده میشود. این، در ارتباط با یک آدرس IP، اطلاعات حیاتی را تشکیل می دهد که هر ارائه دهنده خدمات اینترنتی (ISP) برای انجام درخواست ها از آن استفاده می کند.
Internet Service Provider :ISP
تعداد پورت ها از 0 تا 65536 متغیر است و از نظر محبوبیت رتبه بندی می شوند. پورت های شماره 0 تا 1023 پورت های معروف (well-known ports) نامیده می شوند که معمولاً برای استفاده از اینترنت رزرو شده اند اما می توانند اهداف تخصصی نیز داشته باشند. این پورت ها که توسط سازمان شماره های اختصاص داده شده اینترنت (IANA) اختصاص داده شده اند، توسط مشاغل پیشرو و خدمات زبان پرس و جو ساختاریافته (SQL) نگهداری می شوند.
مرجع واگذاری اعداد در اینترنت (Internet Assigned Numbers Authority) مخفف آیانا (IANA)، نهادی است که مسئولیت سرپرستی آدرسهای پروتکل اینترنت (IP Address) و سیستم خودگردان ( Autonomous System) تخصیص داده شده، مدیریت منطقه ریشه سامانه نام دامنه ( DNS root zone)، ساختار رسانهها در اینترنت (Internet Media Type) یا همان MIME type، و وظایف مربوط به پروتکلهای اینترنتی دیگر را به عهده دارد. این کارها به وسیلهٔ آیکان اداره میشود.
پورتها عموماً توسط پروتکل کنترل انتقال (TCP) مدیریت میشوند که نحوه برقراری و نگهداری یک مکالمه شبکه بین برنامههای وب را تعریف میکند .
پروتکل UDP عمدتاً به ایجاد کانکشن با تاخیر کم یا low-latency و تحمل تلفات (loss-tolerating) در شبکه کمک می کند. UDP ارتباطات process-to-process را امکان پذیر می کند. برخی از محبوب ترین و پرکاربردترین پورت ها عبارتند از:
پورت 20 (UDP): پروتکل انتقال فایل (FTP) که برای انتقال داده ها استفاده می شود
پورت 22 (TCP): پروتکل پوسته ایمن (SSH) مورد استفاده برای FTP، ارسال پورت و ورود امن
پورت 23 (TCP): پروتکل Telnet که برای ارتباطات رمزگذاری نشده استفاده می شود
پورت 53 (UDP): سیستم نام دامنه (DNS)، که نام دامنه های اینترنتی را به آدرس های IP قابل خواندن توسط ماشین ترجمه می کند.
پورت 80 (TCP): پروتکل انتقال ابرمتن وب جهانی (HTTP)
پورت های شماره گذاری شده از 1024 تا 49151 پورت های ثبت شده (Registered Ports) محسوب می شوند و توسط شرکت های نرم افزاری ثبت می شوند. پورت هایی که از 49152 تا 65536 شماره گذاری شده اند، پورت های پویا و خصوصی محسوب می شوند که تقریباً برای همه افراد در اینترنت قابل استفاده است.
تکنیک های اسکن پورت چیست؟
اسکن پورت بسته های ارسال شده به شماره پورت مقصد را با استفاده از تکنیک های مختلف می بیند. چند مورد از این موارد عبارتند از:
اسکن پینگ:
اسکن پینگ ساده ترین تکنیک اسکن پورت در نظر گرفته می شود. Ping scans همچنین به عنوان درخواست های پروتکل پیام کنترل اینترنت (ICMP) شناخته می شوند. اسکن های پینگ گروهی از چندین درخواست ICMP را برای دریافت پاسخ به سرورهای مختلف ارسال می کنند. اسکن پینگ می تواند توسط ادمین برای عیب یابی مشکلات استفاده شود و پینگ ها را می توان توسط فایروال مسدود و غیرفعال کرد.
اسکن وانیلی:
یکی دیگر از تکنیک های اولیه اسکن پورت، اسکن وانیلی (Vanilla Scan ) سعی می کند به تمام 65536 پورت به طور همزمان متصل شود. که یک پرچم همگام سازی (SYN) یا یک درخواست اتصال ارسال می کند. هنگامی که یک پاسخ SYN-ACK یا تأیید اتصال دریافت می کند، با یک پرچم ACK پاسخ می دهد. این اسکن دقیق اما به راحتی قابل تشخیص است زیرا یک اتصال کامل همیشه توسط فایروال ها ثبت می شود.
اسکن SYN:
اسکن SYN ،اسکن نیمه باز ( half-open scan) نیز نامیده می شود. در این اسکن پورت ، یک پرچم SYN را به هدف ارسال می کند و منتظر پاسخ SYN-ACK می شود. در صورت پاسخ، اسکنر پاسخ نمی دهد، به این معنی که اتصال TCP کامل نشده است. بنابراین، تعامل ثبت نمی شود، اما فرستنده یاد می گیرد که پورت باز است. این یک تکنیک سریع است که هکرها برای یافتن نقاط ضعف از آن استفاده می کنند.
اسکن XMAS و FIN:
اسکن درخت کریسمس (اسکن XMAS) و اسکن FIN روش های حمله گسسته تری هستند. اسکنهای XMAS نام خود را از مجموعه پرچمهایی گرفتهاند که در یک بسته روشن میشوند و وقتی در یک تحلیلگر پروتکل مانند Wireshark مشاهده میشوند، به نظر میرسد مانند درخت کریسمس چشمک میزنند. این نوع اسکن مجموعهای از پرچمها را ارسال میکند که وقتی به آن پاسخ داده میشود، میتواند بینشهایی را درباره فایروال و وضعیت پورتها فاش کند. اسکن FIN مشاهده می کند که مهاجم یک پرچم FIN را که اغلب برای پایان دادن به یک جلسه ایجاد شده استفاده می شود، به یک پورت خاص ارسال می کند. پاسخ سیستم به آن می تواند به مهاجم کمک کند تا سطح فعالیت را درک کند و بینشی در مورد استفاده از فایروال سازمان ارائه دهد.
FTP bounce scan:
این تکنیک فرستنده را قادر می سازد تا مکان خود را با استفاده از یک سرور FTP برای بازگرداندن یک پکت پنهان کند.
Sweep scan:
این تکنیک اولیه اسکن پورت، ترافیک را به یک پورت در چندین رایانه در یک شبکه ارسال می کند تا آنهایی را که فعال هستند شناسایی کند. هیچ اطلاعاتی در مورد فعالیت پورت به اشتراک نمی گذارد اما به فرستنده اطلاع می دهد که آیا سیستمی در حال استفاده است یا خیر.
مقایسه اسکن پورت با اسکن شبکه
اسکن شبکه فرآیندی است که لیستی از هاست های فعال در شبکه را شناسایی و سپس آنها را به آدرسهای IP خود راهنمایی می کند، که باید قبل از اجرای اسکن پورت کامپایل شوند.
فرآیند اسکن شبکه همچنین به عنوان کشف میزبان نیز شناخته می شود . معمولا اسکن شبکه اولین گامی است که هکرها برای انجام یک حمله برمی دارند. آنها از دو پروتکل اصلی استفاده می کنند: اسکن های پروتکل ARP و اسکن های مختلف ICMP. اسکن ARP آدرسهای IP را به آدرسهای کنترل دسترسی رسانه (MAC) نگاشت میکند و میتواند برای تعیین میزبانهایی که فعال هستند استفاده شود. این فقط در یک شبکه محلی (LAN) کار می کند، بنابراین مهاجم باید به شبکه داخلی متصل باشد.
بسته های مختلف ICMP را می توان برای انجام یک اسکن شبکه در خارج از LAN استفاده کرد، مانند Address Mark، Echo و Timestamp Requests. کشف هاست بستگی به دریافت پاسخ از میزبان های هدف دارد. عدم دریافت پاسخ به این معنی است که هیچ میزبانی در آدرس مورد نظر وجود ندارد یا درخواست توسط فایروال یا فیلتر بسته مسدود شده است.
هنگامی که اسکن شبکه انجام و بدین ترتیب لیستی از میزبان های موجود جمع آوری شد، بررسی کننده پورت یا عوامل حمله اسکنر پورت می تواند استفاده از پورت های خاص را شناسایی کند. معمولاً پورت ها را با عناوین باز، بسته یا فیلتر شده طبقه بندی می کند.
چگونه از حملات اسکن پورت جلوگیری کنیم؟
اسکن پورت روش محبوب بین مجرمان سایبری برای جستجوی سرورهای آسیب پذیر می باشد. آنها اغلب از اسکن پورت برای کشف سطوح امنیتی سازمانها، تعیین اینکه آیا کسبوکارها فایروالهای مؤثری دارند و یا ازشبکهها یا سرورهای آسیبپذیر استفاده میکنند. برخی از روش های TCP نیز به مهاجمان امکان می دهند مکان خود را پنهان کنند.
مجرمان سایبری در شبکهها جستجو میکنند تا نحوه واکنش پورتها را ارزیابی کنند که به آنها امکان میدهد سطوح امنیتی کسبوکار و سیستمهایی را که مستقر میکنند، درک کنند.
جلوگیری از حمله اسکن پورت به داشتن اطلاعات موثر و به روز تهدید وابسته است که مطابق با چشم انداز تهدید در حال تحول است. کسبوکارها همچنین به نرمافزار امنیتی قوی، ابزارهای اسکن پورت و هشدارهای امنیتی نیاز دارند که بر پورتها نظارت کرده و مانع از دسترسی عوامل مخرب به شبکه آنها شود. ابزارهای مفید عبارتند از اسکن IP، Nmap و Netcat.
سایر مکانیسم های دفاعی عبارتند از:
یک فایروال قوی:
یک فایروال می تواند از دسترسی غیرمجاز به شبکه خصوصی یک کسب و کار جلوگیری کند. این پورت ها و دید آنها را کنترل می کند و همچنین تشخیص می دهد که اسکن پورت در حال انجام است قبل از خاموش کردن آن.
بستهبندیهای TCP:
به مدیران این امکان را میدهند تا بر اساس آدرسهای IP و نامهای دامنه، اجازه یا عدم دسترسی به سرورها را داشته باشند.
کشف حفرههای شبکه:
کسبوکارها میتوانند از چککننده پورت یا اسکنر پورت برای تعیین اینکه آیا پورتهای بیشتری از حد مورد نیاز باز هستند یا خیر استفاده کنند. آنها باید به طور منظم سیستم های خود را بررسی کنند تا نقاط ضعف یا آسیب پذیری بالقوه ای را گزارش کنند که می تواند توسط یک مهاجم مورد سوء استفاده قرار گیرد.
هکرها از حمله چک کننده پورت یا اسکنر پورت برای یادگیری نقاط ضعف یا آسیب پذیری شبکه یک کسب و کار استفاده می کنند. هنگامی که هکرها پیامی را به شماره پورت ارسال می کنند، پاسخی که دریافت می کنند به آنها می گوید که آیا باز است یا خیر و به آنها کمک می کند تا نقاط ضعف احتمالی را کشف کنند.