ポートスキャンとは何ですか? それはあなたの近所を通り過ぎる泥棒に似ており、どの家が開いていてどの家がロックされているかを見るために各家のすべてのドアと窓を調べます。
TCP ( Transmission Control Protocol )とUDP (User Datagram Protocol)は、インターネット上で普遍的に通信するTCP / IPプロトコルを構成するプロトコルの2つです。 これらのポートには 0から65535のポートがあり、本質的にロックするドアは65,000を超えます。
最初の1024個のTCPポートは、Well-Known Portsと呼ばれ、FTP、HTTP、 SMTP、またはDNSなどの標準サービスに関連付けられています 。 1023を超えるアドレスの中には、一般に関連するサービスもありますが、これらのポートの大半はサービスに関連付けられておらず、通信に使用するプログラムやアプリケーションで利用できます。
ポートスキャンの仕組み
最も基本的な状態のポートスキャンソフトウェアは、各ポートのターゲットコンピュータへの接続要求を順次送信し、どのポートが応答したか、またはより詳細なプロービングに開放されているかを記録します。
ポートスキャンが悪意のある目的で実行されている場合、侵入者は一般的に検出されないようにします。 ネットワークセキュリティアプリケーションは、単一のホストからの広範なポートにわたる接続要求を検出した場合、管理者に警告するように構成できます。 これを回避するために、侵入者はストロボモードまたはステルスモードでポートスキャンを行うことができます。 ストローブは、すべての65536ポートをブランケットスキャンするのではなく、ポートをより小さいターゲットセットに制限します。 ステルススキャンでは、スキャンを遅くするなどのテクニックが使用されます。 より長い期間にわたってポートをスキャンすることで、ターゲットがアラートをトリガーする機会を減らすことができます。
異なるTCPフラグを設定するか、または異なるタイプのTCPパケットを送信することによって、ポートスキャンは異なる結果を生成したり、異なる方法で開いたポートを見つけることができます。 SYNスキャンは、どのポートがリスンしているか、どのポートが生成されたレスポンスのタイプに依存しないかをポートスキャナに通知します 。 FINスキャンは閉じたポートから応答を生成しますが、開いているポートとリッスンしているポートは応答を送信しないため、ポートスキャナはどのポートが開いていて、どのポートが開いていないかを判別できます。
ポートスキャンの実際のソースを隠すためのトリックと同様に、実際のポートスキャンを実行するにはいくつかの異なる方法があります。 これらのWebサイト(Port ScanningまたはNetwork Probes Explained)にアクセスすると、これらのいくつかの詳細を読むことができます。
ポートスキャンの監視方法
ポートスキャンのためにネットワークを監視することは可能です。 このトリックは、 情報セキュリティの大部分と同様に、ネットワークのパフォーマンスとネットワークの安全性のバランスを適切に調整することです。 SYNスキャンを監視するには、開いていないポートまたは受信していないポートにSYNパケットを送信しようとする試みを記録します。 しかし、1回の試みが発生するたびに警告されるのではなく、夜中に真夜中に覚醒している間に、アラートを発するためのしきい値を決定する必要があります。 たとえば、ある特定の時間内に非リスンポートへのSYNパケットの試行が10回を超えると、アラートをトリガする必要があります。 FINパケットのスパイクや単一のIPソースからのさまざまなポートやIPアドレスへの異常な接続試行だけを監視する、さまざまなポートスキャン方法を検出するためのフィルタとトラップを設計できます。
ネットワークが保護され、安全であることを保証するために、独自のポートスキャンを実行することをお勧めします。 ここで重要な点は、このプロジェクトに着手する前にすべての権限を持っていることを確実にして、法律違反を見つけないようにすることです。 正確な結果を得るには、社外の機器と別のISPを使用してリモートからポートスキャンを実行することをお勧めします。 NMapなどのソフトウェアを使用すると、 IPアドレスとポートの範囲をスキャンし、攻撃者がネットワークをポートスキャンするかどうかを調べることができます。 特に、NMapはスキャンのほぼすべての側面を制御し、ニーズに合わせてさまざまな種類のポートスキャンを実行できます。
ポートが自分のネットワークをスキャンして開いていると応答したことを知ったら、ネットワーク外からこれらのポートに実際にアクセスできる必要があるかどうかを判断する作業を開始することができます。 それらが必要でない場合は、それらをシャットダウンするかブロックする必要があります。 必要な場合は、これらのポートにアクセスして、ネットワークを保護するための適切なパッチまたは緩和策を可能な限り適用することによって、ネットワークがどのような脆弱性および悪用を公開しているかを調べ始めることができます。