Скенер портова

Овај чланак је започет или проширен кроз пројекат семинарских радова. Потребно је проверити превод, правопис и вики-синтаксу. Када завршите са провером, допишете да након |проверено=.

Скенер портова је програм конструисан да испита Сервер или Хост (домаћина) за отворене портове. Често је коришћен од стране Мрежних администратора како би проверили безбедност њихових мрежа и преко нападача идентификовали упаљене сервисе на хосту.

Скенирање портова (порт сцан или портсцан) се мозе дефинисати као напад који хосту шаље захтеве клијената на низ адреса портова сервера са циљем проналажења активног порта и угрожавањем познате слабости тог сервиса,^[1] иако већина коришћења тог програма нису напади вец једноставна испитивања доступних сервиса на удаљеном рачунару.

Портсwееп или Претраживање портова се користи како би се скенирало више хостова за одређени отворени порт. Касније се најчесце користи за тражење одређеног сервиса, на пример, СQЛ-базиран рачунарски црв може претраживати портове за компатабилним хостом на ТЦП порту 1433.^[2]

ТЦП/ИП - основно знање

Дизајн и рад Интернета је базиран на Интернет протоколима, често називаним ТЦП/ИП. У овом систему, хостови и услуге хостова су означене коришћењем две компоненте: адресе и броја порта. Постоји 65536 различитих и употребљивих брјева порта. Већина сервиса користи ограничен опсег бројева.

Неки скенери портова могу скенирати само најучесталије бројеве порта, или портове најчешће повезане са рањивим сервисима на датом хосту.

Резултат скенирања портова је најчешће генарализован у једну од три категорије:

1. Опен (Отворена) или Аццептед (Прихваћена): Хост шаље одговор који указује да је сервис компатабилан на порту.
2. Цлосед (Затворен ) или Дениед (Одбијен ) или Нот листенинг (Не слуша): Хост шаље одговор који указује да ће конекција на порту бити одбијена.
3. Филтеред (Филтриран), Дроппед (Пао) или Блоцкед (Блокиран): Није добијен одговор од хоста.

Отворени портови приказују две слабе тачке због којих Администратори морају бити опрезни:

1. Забринутост за безбедност и стабилност повезана са програмом одговорним за достављање сервиса - Отворени портови.
2. Забринутост за безбедност и стабилност повезана са оперативним системом који је активан на хосту - Отворени или затворени портови.

Филтрирани портови не теже да приказују рањивост.

Претпоставке скенирања портова

Сви облици скенирања портова ослањају се на претпоставци да је означени хост компатибилан са РФЦ793 - Трансмиссион Цонтрол Протоцол (Протоколом контроле слања). Иако је тако у већини случајева, постоји шанса да хост може послати назад чудне пакете или чак генерисати лажно позитивне када је ТЦП/ИП стек хоста не-РФЦ-компатабилан или је промењен. Ово посебно важи за мање уобичајене технике скенирања које су зависне од оперативних система (ФИН скенирање , на пример).^[3] ТЦП/ИП стацк фингерпринтинг метода се такође ослања на овакве типове различитих мрежних реакција од специфичног стимуланса да погоди тип оперативног система који је активан на хосту.

Типови скенирања портова

ТЦП скенирање

Најједноставнији скенери портова користе функције мрежног оператвног система и генерално је следећа опција да се настави када СYН није изводјлива опција (описано у наставку). Нмап назива овај метод повезивање цоннецт сцан (повезивање скенирања), назван по Униx повезивању системског позива. Ако је порт отворен, оперативни систем завршава ТЦП троструко руковање, и скенер портова одмах затвара конекцију како би избегао извршавање Дениал-оф-сервице напада (Ускраћивање сервиса). Иначе код грешке се враћа. Овај режим скенирања има предност да корисник не захтева посебне привилегије. Међутим, коришћењем функција оперативног система мреже спречава се низак ниво контроле, па је овај тип скенирања ређи. Овај метод је "бучнији", посебно ако је "портсwееп": сервиси могу да забележе ИП адресу пошиљаоца и систем детекције упада може покренути аларм.

СYН скенирање

СYН скенирање је још један облик ТЦП скенирања. Радије него да користи функције оперативног система мреже, скенер портова генерише необрадјене пакете сам и трага за одговорима. Овај тип скенирања је такође назван као "халф-опен (полу отворено) скенирање", зато сто заправо никад не отвара целу ТЦП конекцију. Скенер портова генерише СYН пакет. Ако је означени порт отворен, он це одговорити са СYН-АЦК пакетом. Скенер хост одговара са РСТ пакетом, затварајући конекцију пре него што је руковање завршено. Ако је порт затворен нефилтриран, циљ це одмах одговорити са РСТ пакетом.

Коришћење сирове мреже има неколико предности, давајући скенеру потпуну контролу над послатим пакетима као и временским роком за одговоре и омогућава детаљне извештаје одговора. СYН скенирање има ту предност да поједини сервиси никада не прихватају конекцију. Међутим, РСТ током руковања може узроковати проблеме за неке мрежне стекове, посебно код једноставних уређаја као сто су штампачи. Не постоје уверљиви аргументи било како.

УДП скенирање

УДП скенирање је такође могуће, иако постоје технички изазови. УДП (Усер Датаграм Протоцол) је протокол без конекције тако да не постоји еквивалент за ТЦП СYН пакет. Међутим, ако се шаље УДП пакет на порт који није отворен, систем це одговорити са ИЦМП (Интернет Цонтрол Мессаге Протоцол) поруком недоступног порта. Већина УДП скенера портова користи овај метод скенирања и користе одсуство одговора да закључе да је порт отворен. Међутим, ако је блокиран од стране Фиреwалл-а (Заштитног зида), овај метод це лажно извештавати да је порт отворен. Ако је порука недоступног порта блокирана, сви портови ће се појавити отворени. Ова метода такође утиче на ИЦМП ограничавање стопа.^[4]

Алтернативни приступ је да пошаље УДП пакете одређене апликације, надајући се да ће генерисати одговор апликационог слоја. На пример, слањем ДНС упита порту 53 ће резултовати одговором, ако је ДНС сервер присутан. Ова метода је много поузданија у идентификовању отворених портова. Међутим, она је ограничена на скенирање портова са којих је специфицни пробни пакет апликације доступан. Неке алатке (нпр. нмап) генерално имају пробе за мање од 20 УДП сервиса, док неке комерцијалне алатке (нпр. Нессус) имају цак 70. У неким случајевима, сервиси могу слушати порт, али није конфигурисан да одговори на одређени пробни пакет.

Да би се изборио са различитим ограничењима сваког приступа, неки скенери нуде хибридни метод. На пример, користеци нмап са -сУВ опцијом почеће користити ИЦМП метод недоступног порта, правећи све портове "затвореним" или "отвореним|филтрираним". Отворени|филтрирани портови су пробни за одговор апликације и ознацени као "отворени" ако је бар један примљен.

АЦК скенирање

АЦК скенирање је један од више јединствених типова скенирања, јер он не утврђује тачно да ли је порт отворен или затворен, него да ли је порт филтриран или не. Ово је посебно добро када покушава да испита постојање заштитног зида и његових правила. Једноставним филтрирањем пакета ће омогућити успостављање везе , док код присуства комплекснијег фиреwалл-а можда неће.^[5]

Скенирање прозора

Ретко се користи због своје застареле природе, скенирање прозора је прилично неупоуздано у одређивању да ли је порт отворен или затворен. Он генерише исти пакет као АЦК скенирање, али проверава да ли је поље прозора пакета промењено. Када пакет стигне на одредиште, мана у дизајну покушава да направи прозор величине пакета ако је порт отворен, обележавајуци поље прозора пакета са 1 пре него сто се враћа пошиљаоцу. Коришћењем ове технике скенирања са системима који не подржавају ову примену, врацају 0 за поље прозора, обележавањем отворених портова као затворене.^[6]

ФИН скенирање

Пошто СYН скенирања нису довољно прикривена, фиреwалл-ови скенирају блокиране пакете у виду СYН пакета. ФИН пакети могу да прођу фиреwалл без промене своје сврхе. Затворени портови одговарају ФИН пакету са одговарајућим РСТ пакетом, док отворени портови игноришу пакет "на руци". Ово је типично понашање због природе ТЦП, и на неки начин неизбежан пад.^[7]

Остали типови скенирања

Постоје јос неки неуобичајени типови скенирања. Они имају различита ограничења и нису у широкој употреби. Нмап подржава већину њих.

• X-мас и Нулл Скенирање - су слични са ФИН скенирањем
  • X-мас шаље пакете са ФИН, УРГ и ПУСХ ознакама укљученим као новогодисња јелка
  • Нулл шаље пакет без ТЦП ознака на себи
• Протокол скенирање - одређује шта је од ИП нивоа протокола (ТЦП, УДП, ГРЕ (Генериц Роутинг Енцапсулатион), итд.) омугућено.
• Прокси скенирање - прокси (СОЦКС или ХТТП) су коришћени за извршавање скенирања. Мета це видети проксијеву ИП адресу као извор. Ово такође мозе бити учињено коришћењем ФТП (Филе Трансфер Протоцол) сервера
• Идле скенирање - јос један начин скенирања без откривања нечије ИП адресе, искоришћавајуци предвидљиву ИП ИД ману
• Цат скенирање - Провера порт у потрази за погрешним пакетима
• ИЦМП (Интернет Цонтрол Мессаге Протоцол) скенирање - одредјује да ли хост реагује на ИЦМП захтеве, као сто су ехо (пинг), нетмаск, итд.

Филтрирање портова преко ИСП (интернет сервис провајдера)

Многи интернет провајдери ограничавају могућности својих корисника да скенирају портове ван своје кућне мреже. Ово је углавном покривено у условима услуге или у прихватљивом поступку коришћења који корисник мора да прихвати.^[8][9] Неки интернет провајдери спроводе филтере или транспарентне проксије који спречавају одлазне сервисне захтеве појединим портовима. На пример, ако један интернет провајдер обезбеђује транспарентни ХТТП проxy на порту 80, скенирање портова било које адресе ће показати да је порт 80 отворен, без обриза на тренутну конфигурацију циљног хоста.

Етика

Информације које је прикупило скенирање портова има многе користи укључујући инвентор мреже и верификацију безбедности мреже. Скенирање портова може, медјутим, бити коришћено и да угрози безбедност. Многи корисници се ослањају на скенирање портова за тражење отворених портова и слање посебних образаца у покушају да активирају стање познато као "буттерфлy оверфлоw". Такво понашање може да угрози безбедност мреже и рачунаре у оквиру ње, што доводи до губитка или излагања информација и могућности за рад.

Ниво претње коју изазива скенирање портова мозе много да варира у зависности од начина који је коришћен за скенирање, врсте порта који је скениран, његовог броја, вредности циљног хоста и администратора који прати хост. ^[10] Али скенирање портова се углавном види као први корак у нападу, стога се озбиљно узима у обзир јер мозе да открије много приватних информација о хосту. Упркос овоме, вероватноћа да ће скенирање порта бити праћена нападом је мала. Вероватноћа напада је много већа када је скенирање порта повезано са скенирањем рањивости.

Правне последице

Због отворене и нецентрализоване архитектуре интернета, законодавци су се борили од његовог постанка да дефинишу законске границе које омогућавају ефикасно кривично гоњење криминалаца. Случајеви који укључују скенирање портова су пример тешкоћа судских кршења. Иако су овакви случајеви ретки, већину времена правни процес укључује доказивање да је намера за упад и неовлашћени приступ постојала, а не само скенирање портова.

• У јуну 2003, Израелац, Ави Мизрахи, је оптужен од стране израелске полиције за покушај неовлашћеног приступа рачунарском материјалу. Он је скенирао портове сајта Моссад. Ослобођен је свих оптузби 29. Фебруара 2004. Судија је рекао да овакве поступке не треба обесхрабривати када се изводе на позитиван нацин.^[11]
• 17-годишњи Финац је оптужен за покушај упада у рачунар велике финске банке. 9. Априла 2003. је осуђен од стране врховног суда и наређено му је да плати 12000 долара, за трошкове форензичке анализе од стране банке. У 1998, он је скенирао портове мрезже банке, у покушају да приступи затвореној мрежи, али није успео у том покусају.^[12]
• У децембру 1999, Сцотт Моултон је ухапшен од стране ФБИ и оптужен за покушај упада у рачунар под Георгиа'с Цомпутер Сyстемс Протецтион Ацт. У ово време , његова ИТ компанија је имала тренутни уговор са Цхерокее, округом дрзаве Георгиа да одржи и унапреди 911 центар за безбедност. Он је извео неколико скенирања портова на серверима у Цхерокее округу да би проверио њихову безбедност и коначно је пронашао јос један веб сервер друге ИТ компаније, изазивајући свађу, што је заврсило на суду. Ослобођен је 2000, судија је рекао да није досло до оштећења у интегритету и доступности мреже.^[13]

У 2006, Британски парламент је изгласао амандман на рачун Цомпутер Мисусе Ацт 1990 који доказује кривицу особе која "направи, измени, снабдева или предложи да снабдева било који чланак за који се зна да је дизајниран и прилагођен за употребу у току или у вези са прекрсајем из става 1 или 3 (ЦМА) ".^[14] Ипак, област утицаја овог амандмана је нејасна, и широко критикована од стране безбедносних стручњака.^[15]

Немачка, са Страфгесетзбуцх § 202а,б,ц има сличан закон, и Савет ЕУ је издао саопштење за јавност у којој се наводи да планирају направе један слични, мада прецизнији.^[16]

Референце

1. RFC 2828 Интернет Сецуритy Глоссарy
2. Ан унсецуред СQЛ Сервер сервер тхат хас а бланк (НУЛЛ) сyстем администратор пассwорд аллоwс вулнерабилитy то а wорм
3. Ериксон, Јон (1977). ХАЦКИНГ тхе арт оф еxплоитатион (2нд изд.). Сан Францисцо: НоСтарцх Пресс. стр. 264. ИСБН 978-1-59327-144-2. 
4. Мессер, Јамес (2007). Сецретс оф Нетwорк Цартограпхy: А Цомпрехенсиве Гуиде то Нмап (2нд изд.). Архивирано из оригинала 16. 05. 2016. г. Приступљено 5. 12. 2011. 
5. „Порт Сцаннинг Тецхниqуес”. Нмап референце гуиде. 2001. Приступљено 7. 5. 2009. 
6. Мессер, Јамес (2007). Сецретс оф Нетwорк Цартограпхy: А Цомпрехенсиве Гуиде то Нмап (2нд изд.). Архивирано из оригинала 01. 02. 2006. г. Приступљено 5. 12. 2011. 
7. Маимон, Уриел (8. 11. 1996). „Порт Сцаннинг wитхоут тхе СYН флаг”. Пхрацк иссуе 49. Приступљено 8. 5. 2009. 
8. „Цомцаст Аццептабле Усе Полицy”. Цомцаст. 1. 1. 2009. Архивирано из оригинала 23. 04. 2009. г. Приступљено 7. 5. 2009. 
9. „БигПонд Цустомер Термс” (ПДФ). Телстра. 6. 11. 2008. Архивирано из оригинала (ПДФ) 26. 1. 2009. г. Приступљено 8. 5. 2009. 
10. .Јамиесон, Схаун (8. 10. 2001). „Тхе Етхицс анд Легалитy оф Порт Сцаннинг”. САНС. Приступљено 8. 5. 2009. 
11. Хон. Абрахам Н. Тенненбаум (29. 2. 2004). „Вердицт ин тхе цасе Ави Мизрахи вс. Исраели Полице Департмент оф Просецутион” (ПДФ). Архивирано из оригинала (ПДФ) 07. 10. 2009. г. Приступљено 8. 5. 2009. 
12. Халмари, Еса (2003). „Фирст рулинг бy тхе Супреме Цоурт оф Финланд он аттемптед бреак-ин”. Приступљено 7. 5. 2009. 
13. Поулсен, Кевин (18. 12. 2000). „Порт сцанс легал, јудге саyс”. СецуритyФоцус. Архивирано из оригинала 11. 05. 2008. г. Приступљено 8. 5. 2009. 
14. Парлиамент, УК (25. 1. 2006). „Полице анд Јустице Билл - Билл 119”. УК Парлиамент. Приступљено 5. 12. 2011. 
15. Леyден, Јохн (2. 1. 2008). „УК гов сетс рулес фор хацкер тоол бан”. Тхе Регистер. Приступљено 8. 5. 2009. 
16. „3096тх Цоунцил меетинг Пресс Релеасе” (ПДФ). Цоунцил оф тхе Еуропеан Унион. 10. 6. 2011. Приступљено 5. 12. 2011. 

Литература

• Мессер, Јамес (2007). Сецретс оф Нетwорк Цартограпхy: А Цомпрехенсиве Гуиде то Нмап (2нд изд.). Архивирано из оригинала 01. 02. 2006. г. Приступљено 5. 12. 2011. 
• Ериксон, Јон (1977). ХАЦКИНГ тхе арт оф еxплоитатион (2нд изд.). Сан Францисцо: НоСтарцх Пресс. стр. 264. ИСБН 978-1-59327-144-2. 
• Мессер, Јамес (2007). Сецретс оф Нетwорк Цартограпхy: А Цомпрехенсиве Гуиде то Нмап (2нд изд.). Архивирано из оригинала 16. 05. 2016. г. Приступљено 5. 12. 2011.