اسکن پورت تکنیک رایجی است که هکرها برای کشف درهای باز یا نقاط ضعف شبکه از آن استفاده می کنند. حمله پورت اسکن به مجرمان سایبری کمک می کند تا پورت های باز سیستم قربانی را شناسایی کنند و از این طریق بفهمند که چه سرویس هایی روی کامپیوتر موردنظرشان فعال است. همچنین می‌تواند نشان دهد که آیا تجهیزات امنیتی فعال مانند فایروال‌ها توسط یک سازمان استفاده می‌شوند یا خیر.

هنگامی که هکرها پیامی را به یک پورت ارسال می‌کنند، پاسخی که دریافت می‌کنند تعیین می‌کند که آیا از پورت استفاده می‌شود یا خیر و آیا نقاط ضعف بالقوه‌ای وجود دارد که می‌توان از آنها سوء استفاده کرد.

کسب‌وکارها همچنین می‌توانند از تکنیک اسکن پورت برای ارسال پکت ها به پورت‌های خاص و تجزیه و تحلیل پاسخ‌ها برای هر آسیب‌پذیری احتمالی استفاده کنند. سپس می‌توانند از ابزارهایی مانند اسکن IP، نت مپینگ (Nmap) و Netcat برای اطمینان از ایمن بودن شبکه و سیستم‌های خود استفاده کنند.

پورت اسکن می تواند اطلاعاتی از قبیل موارد زیر را نشان دهد :

• خدماتی که در حال اجرا هستند
• کاربرانی که دارای خدمات ویژه هستند
• آیا ورود ناشناس مجاز است یا خیر
• کدام سرویس های شبکه نیاز به احراز هویت دارند

در اصطلاح شبکه، Port نوعی نقطه اتصال الکترونیکی است که از طریق آن داده‌ها وارد کامپیوتر شده و یا از آن خارج می‌شوند. به صورت تخصصی‌تر، پورت به نقطه مجازی می‌گویند که در آن اتصالات یک شبکه شروع و پایان می‌یابد. در پورت تبادل اطلاعات بین چندین برنامه و اینترنت به دستگاه ها یا رایانه های دیگر صورت می گیرد. برای اطمینان از سازگاری و ساده‌سازی فرآیندهای برنامه‌نویسی، به پورت‌ها شماره پورت اختصاص داده می‌شود. این، در ارتباط با یک آدرس IP، اطلاعات حیاتی را تشکیل می دهد که هر ارائه دهنده خدمات اینترنتی (ISP) برای انجام درخواست ها از آن استفاده می کند.

Internet Service Provider :ISP

تعداد پورت ها از 0 تا 65536 متغیر است و از نظر محبوبیت رتبه بندی می شوند. پورت های شماره 0 تا 1023 پورت های معروف (well-known ports) نامیده می شوند که معمولاً برای استفاده از اینترنت رزرو شده اند اما می توانند اهداف تخصصی نیز داشته باشند. این پورت ها که توسط سازمان شماره های اختصاص داده شده اینترنت (IANA) اختصاص داده شده اند، توسط مشاغل پیشرو و خدمات زبان پرس و جو ساختاریافته (SQL) نگهداری می شوند.

مرجع واگذاری اعداد در اینترنت (Internet Assigned Numbers Authority) مخفف آیانا (IANA)، نهادی است که مسئولیت سرپرستی آدرس‌های پروتکل اینترنت (IP Address) و سیستم خودگردان ( Autonomous System) تخصیص داده شده، مدیریت منطقه ریشه سامانه نام دامنه ( DNS root zone)، ساختار رسانه‌ها در اینترنت (Internet Media Type) یا همان MIME type، و وظایف مربوط به پروتکل‌های اینترنتی دیگر را به عهده دارد. این کارها به وسیلهٔ آیکان اداره می‌شود.

پورت‌ها عموماً توسط پروتکل کنترل انتقال (TCP) مدیریت می‌شوند که نحوه برقراری و نگهداری یک مکالمه شبکه بین برنامه‌های وب را تعریف می‌کند .

پروتکل UDP عمدتاً به ایجاد کانکشن با تاخیر کم یا low-latency و تحمل تلفات (loss-tolerating) در شبکه کمک می کند. UDP ارتباطات process-to-process را امکان پذیر می کند. برخی از محبوب ترین و پرکاربردترین پورت ها عبارتند از:

پورت 20 (UDP): پروتکل انتقال فایل (FTP) که برای انتقال داده ها استفاده می شود
پورت 22 (TCP): پروتکل پوسته ایمن (SSH) مورد استفاده برای FTP، ارسال پورت و ورود امن
پورت 23 (TCP): پروتکل Telnet که برای ارتباطات رمزگذاری نشده استفاده می شود
پورت 53 (UDP): سیستم نام دامنه (DNS)، که نام دامنه های اینترنتی را به آدرس های IP قابل خواندن توسط ماشین ترجمه می کند.
پورت 80 (TCP): پروتکل انتقال ابرمتن وب جهانی (HTTP)
پورت های شماره گذاری شده از 1024 تا 49151 پورت های ثبت شده (Registered Ports) محسوب می شوند و توسط شرکت های نرم افزاری ثبت می شوند. پورت هایی که از 49152 تا 65536 شماره گذاری شده اند، پورت های پویا و خصوصی محسوب می شوند که تقریباً برای همه افراد در اینترنت قابل استفاده است.

اسکن پورت بسته های ارسال شده به شماره پورت مقصد را با استفاده از تکنیک های مختلف می بیند. چند مورد از این موارد عبارتند از:

اسکن پینگ:

اسکن پینگ ساده ترین تکنیک اسکن پورت در نظر گرفته می شود. Ping scans همچنین به عنوان درخواست های پروتکل پیام کنترل اینترنت (ICMP) شناخته می شوند. اسکن های پینگ گروهی از چندین درخواست ICMP را برای دریافت پاسخ به سرورهای مختلف ارسال می کنند. اسکن پینگ می تواند توسط ادمین برای عیب یابی مشکلات استفاده شود و پینگ ها را می توان توسط فایروال مسدود و غیرفعال کرد.

اسکن وانیلی:

یکی دیگر از تکنیک های اولیه اسکن پورت، اسکن وانیلی (Vanilla Scan ) سعی می کند به تمام 65536 پورت به طور همزمان متصل شود. که یک پرچم همگام سازی (SYN) یا یک درخواست اتصال ارسال می کند. هنگامی که یک پاسخ SYN-ACK یا تأیید اتصال دریافت می کند، با یک پرچم ACK پاسخ می دهد. این اسکن دقیق اما به راحتی قابل تشخیص است زیرا یک اتصال کامل همیشه توسط فایروال ها ثبت می شود.

اسکن SYN:

اسکن SYN ،اسکن نیمه باز ( half-open scan) نیز نامیده می شود. در این اسکن پورت ، یک پرچم SYN را به هدف ارسال می کند و منتظر پاسخ SYN-ACK می شود. در صورت پاسخ، اسکنر پاسخ نمی دهد، به این معنی که اتصال TCP کامل نشده است. بنابراین، تعامل ثبت نمی شود، اما فرستنده یاد می گیرد که پورت باز است. این یک تکنیک سریع است که هکرها برای یافتن نقاط ضعف از آن استفاده می کنند.

• فایروال های High End نسل بعدی (NGFW) فورتی گیت

اسکن XMAS و FIN:

اسکن درخت کریسمس (اسکن XMAS) و اسکن FIN روش های حمله گسسته تری هستند. اسکن‌های XMAS نام خود را از مجموعه پرچم‌هایی گرفته‌اند که در یک بسته روشن می‌شوند و وقتی در یک تحلیلگر پروتکل مانند Wireshark مشاهده می‌شوند، به نظر می‌رسد مانند درخت کریسمس چشمک می‌زنند. این نوع اسکن مجموعه‌ای از پرچم‌ها را ارسال می‌کند که وقتی به آن پاسخ داده می‌شود، می‌تواند بینش‌هایی را درباره فایروال و وضعیت پورت‌ها فاش کند. اسکن FIN مشاهده می کند که مهاجم یک پرچم FIN را که اغلب برای پایان دادن به یک جلسه ایجاد شده استفاده می شود، به یک پورت خاص ارسال می کند. پاسخ سیستم به آن می تواند به مهاجم کمک کند تا سطح فعالیت را درک کند و بینشی در مورد استفاده از فایروال سازمان ارائه دهد.

FTP bounce scan:

این تکنیک فرستنده را قادر می سازد تا مکان خود را با استفاده از یک سرور FTP برای بازگرداندن یک پکت پنهان کند.

Sweep scan:

این تکنیک اولیه اسکن پورت، ترافیک را به یک پورت در چندین رایانه در یک شبکه ارسال می کند تا آنهایی را که فعال هستند شناسایی کند. هیچ اطلاعاتی در مورد فعالیت پورت به اشتراک نمی گذارد اما به فرستنده اطلاع می دهد که آیا سیستمی در حال استفاده است یا خیر.

اسکن شبکه فرآیندی است که لیستی از هاست های فعال در شبکه را شناسایی و سپس آنها را به آدرس‌های IP خود راهنمایی می کند، که باید قبل از اجرای اسکن پورت کامپایل شوند.

فرآیند اسکن شبکه همچنین به عنوان کشف میزبان نیز شناخته می شود . معمولا اسکن شبکه اولین گامی است که هکرها برای انجام یک حمله برمی دارند. آنها از دو پروتکل اصلی استفاده می کنند: اسکن های پروتکل ARP و اسکن های مختلف ICMP. اسکن ARP آدرس‌های IP را به آدرس‌های کنترل دسترسی رسانه (MAC) نگاشت می‌کند و می‌تواند برای تعیین میزبان‌هایی که فعال هستند استفاده شود. این فقط در یک شبکه محلی (LAN) کار می کند، بنابراین مهاجم باید به شبکه داخلی متصل باشد.

بسته های مختلف ICMP را می توان برای انجام یک اسکن شبکه در خارج از LAN استفاده کرد، مانند Address Mark، Echo و Timestamp Requests. کشف هاست بستگی به دریافت پاسخ از میزبان های هدف دارد. عدم دریافت پاسخ به این معنی است که هیچ میزبانی در آدرس مورد نظر وجود ندارد یا درخواست توسط فایروال یا فیلتر بسته مسدود شده است.

هنگامی که اسکن شبکه انجام و بدین ترتیب لیستی از میزبان های موجود جمع آوری شد، بررسی کننده پورت یا عوامل حمله اسکنر پورت می تواند استفاده از پورت های خاص را شناسایی کند. معمولاً پورت ها را با عناوین باز، بسته یا فیلتر شده طبقه بندی می کند.

اسکن پورت روش محبوب بین مجرمان سایبری برای جستجوی سرورهای آسیب پذیر می باشد. آن‌ها اغلب از اسکن پورت برای کشف سطوح امنیتی سازمان‌ها، تعیین اینکه آیا کسب‌وکارها فایروال‌های مؤثری دارند و یا ازشبکه‌ها یا سرورهای آسیب‌پذیر استفاده می‌کنند. برخی از روش های TCP نیز به مهاجمان امکان می دهند مکان خود را پنهان کنند.

مجرمان سایبری در شبکه‌ها جستجو می‌کنند تا نحوه واکنش پورت‌ها را ارزیابی کنند که به آنها امکان می‌دهد سطوح امنیتی کسب‌وکار و سیستم‌هایی را که مستقر می‌کنند، درک کنند.

جلوگیری از حمله اسکن پورت به داشتن اطلاعات موثر و به روز تهدید وابسته است که مطابق با چشم انداز تهدید در حال تحول است. کسب‌وکارها همچنین به نرم‌افزار امنیتی قوی، ابزارهای اسکن پورت و هشدارهای امنیتی نیاز دارند که بر پورت‌ها نظارت کرده و مانع از دسترسی عوامل مخرب به شبکه آنها شود. ابزارهای مفید عبارتند از اسکن IP، Nmap و Netcat.

• ارزیابی آسیب پذیری چیست؟
• FortiPenTest چیست؟

سایر مکانیسم های دفاعی عبارتند از:

یک فایروال قوی:

یک فایروال می تواند از دسترسی غیرمجاز به شبکه خصوصی یک کسب و کار جلوگیری کند. این پورت ها و دید آنها را کنترل می کند و همچنین تشخیص می دهد که اسکن پورت در حال انجام است قبل از خاموش کردن آن.

بسته‌بندی‌های TCP:

به مدیران این امکان را می‌دهند تا بر اساس آدرس‌های IP و نام‌های دامنه، اجازه یا عدم دسترسی به سرورها را داشته باشند.

کشف حفره‌های شبکه:

کسب‌وکارها می‌توانند از چک‌کننده پورت یا اسکنر پورت برای تعیین اینکه آیا پورت‌های بیشتری از حد مورد نیاز باز هستند یا خیر استفاده کنند. آنها باید به طور منظم سیستم های خود را بررسی کنند تا نقاط ضعف یا آسیب پذیری بالقوه ای را گزارش کنند که می تواند توسط یک مهاجم مورد سوء استفاده قرار گیرد.

هکرها از حمله چک کننده پورت یا اسکنر پورت برای یادگیری نقاط ضعف یا آسیب پذیری شبکه یک کسب و کار استفاده می کنند. هنگامی که هکرها پیامی را به شماره پورت ارسال می کنند، پاسخی که دریافت می کنند به آنها می گوید که آیا باز است یا خیر و به آنها کمک می کند تا نقاط ضعف احتمالی را کشف کنند.