端口扫描简介

什么是端口扫描? 它类似于小偷穿过你的邻居,检查每个房屋的每扇门和窗户,看看哪些房子是开放的,哪些是锁定的。

TCP传输控制协议 )和UDP (用户数据报协议)是构成在因特网上通用的TCP / IP协议套件的两种协议。 其中每一个都有端口 0到65535,所以基本上有超过65,000个门可以锁定。

前1024个TCP端口称为知名端口,并与标准服务(如FTP,HTTP, SMTPDNS)相关联 。 1023以上的一些地址也具有通常相关的服务,但大多数这些端口不与任何服务关联,并且可供程序或应用程序用于通信。

端口扫描如何工作

端口扫描软件在其最基本的状态下,只是发出一个请求,以连接到每个端口上的目标计算机,并记下哪些端口已响应或似乎开放以进行更深入的探测。

如果端口扫描是用恶意的意图完成的,入侵者通常更喜欢不被发现。 网络安全应用程序可以配置为在管理员检测到来自单个主机的广泛端口上的连接请求时发出警报。 为了解决这个问题,入侵者可以在频闪或隐藏模式下进行端口扫描。 频闪将端口限制为较小的目标集而不是全部扫描全部65536个端口。 隐形扫描使用诸如减慢扫描的技术。 通过长时间扫描端口,可以降低目标触发警报的几率。

通过设置不同的TCP标志或发送不同类型的TCP数据包,端口扫描可以生成不同的结果或以不同方式查找打开的端口。 SYN扫描将告诉端口扫描器哪些端口正在侦听,哪些不依赖于生成的响应类型。 FIN扫描将从封闭的端口生成响应 - 但是打开并侦听的端口不会发送响应,因此端口扫描器将能够确定哪些端口是开放的,哪些不是。

有许多不同的方法来执行实际的端口扫描以及隐藏端口扫描的真实来源的技巧。 您可以通过访问这些网站阅读更多关于其中的一些内容:端口扫描或网络探针解释。

如何监视端口扫描

可以监视您的网络以进行端口扫描。 与信息安全中的大多数事情一样,诀窍就是在网络性能和网络安全之间找到适当的平衡点。 您可以通过记录任何尝试将SYN数据包发送到未打开或正在侦听的端口来监视SYN扫描。 但是,不是每次发生单次尝试时都会收到警报 - 并且可能会在深夜中因无法识别的错误而被唤醒 - 您应该决定触发警报的阈值。 例如,您可能会说,如果在给定的分钟内有非超过10个的SYN数据包尝试通过非侦听端口触发警报。 您可以设计过滤器和陷阱来检测各种端口扫描方法 - 监视FIN数据包中的峰值,或者只是从单个IP源异常连接到各种端口和/或IP地址

为了确保您的网络得到保护和安全,您可能希望执行自己的端口扫描。 这里的一个主要警告是确保你在开始这个项目之前获得所有权力的认可,以免发现自己在法律的错误一面。 要获得准确的结果,最好使用非公司设备和不同的ISP从远程位置执行端口扫描。 使用NMap等软件,您可以扫描一系列IP地址和端口,并找出攻击者在端口扫描您的网络时会看到的内容。 特别是,NMap允许您控制扫描的几乎每个方面,并执行各种类型的端口扫描以满足您的需求。

一旦通过端口扫描您自己的网络发现端口响应为开放端口,您就可以开始确定从网络外部访问这些端口是否确实需要这些端口。 如果他们没有必要,你应该关闭他们或阻止他们。 如果有必要,您可以开始研究通过让这些端口可访问,并开始应用适当的修补程序或缓解来尽可能保护您的网络,哪些漏洞和漏洞可用于您的网络。