วันอังคารที่ 17 กันยายน พ.ศ. 2556

.Port Scanner

สแกนพอร์ตเป็นซอฟแวร์โปรแกรมที่ออกแบบมาเพื่อสอบสวนเซิร์ฟเวอร์หรือโฮสต์สำหรับการเปิดพอร์ต . นี้มักจะใช้โดยผู้ดูแลระบบในการตรวจสอบการรักษาความปลอดภัยของพวกเขานโยบายของเครือข่ายและโดยการโจมตีในการระบุบริการที่ทำงานบนโฮสต์ที่มีมุมมองที่จะประนีประนอมมัน
สแกนพอร์ตหรือportscanสามารถกำหนดเป็นโจมตีที่ส่งคำขอของลูกค้าในช่วงของที่อยู่เซิร์ฟเวอร์พอร์ตบนโฮสต์ที่มีเป้าหมายในการหาพอร์ตที่ใช้งานและการใช้ประโยชน์จากช่องโหว่ที่รู้จักกันในการให้บริการนั้น[ 1 ]ถึงแม้ว่าส่วนใหญ่ของ การใช้ประโยชน์จากการสแกนพอร์ตจะไม่โจมตีและโพรบที่ง่ายต่อการตรวจสอบการบริการที่มีบนเครื่องระยะไกล
เพื่อportsweepคือการสแกนโฮสต์หลายสำหรับพอร์ตการฟังที่เฉพาะเจาะจง หลังโดยปกติจะใช้ในการค้นหาสำหรับผู้ให้บริการที่เฉพาะเจาะจงเช่นSQLที่ใช้หนอนคอมพิวเตอร์อาจ portsweep กำลังมองหาโฮสต์ฟังTCPพอร์ต 1433 

พอร์ตสมมติฐานการสแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

ทุกรูปแบบของการสแกนพอร์ตพึ่งพาสมมติฐานที่ว่าโฮสต์เป้าหมายคือสอดคล้องกับRFC 793 - ควบคุมการส่งทูต . แม้ว่ามันจะเป็นกรณีที่มากที่สุดของเวลาที่ยังคงมีโอกาสเป็นเจ้าภาพอาจส่งกลับมาแพ็คเก็ตแปลก ๆ หรือแม้กระทั่งการสร้างบวกเท็จเมื่อ TCP / IP stack ของโฮสต์ไม่เป็น RFC ที่สอดคล้องหรือมีการเปลี่ยนแปลง นี้จะเป็นจริงโดยเฉพาะอย่างยิ่งสำหรับการร่วมกันน้อยลงเทคนิคการสแกนที่มีระบบปฏิบัติการขึ้นอยู่กับ (FIN สแกนตัวอย่างเช่น) [ 3 ]แต็ค TCP / IP พิมพ์ลายนิ้วมือวิธีการที่ยังอาศัยกับชนิดของการตอบสนองที่แตกต่างกันเครือข่ายเหล่านี้จากสิ่งเร้าที่เฉพาะเจาะจงที่จะคาดเดาของ ระบบปฏิบัติการโฮสต์ที่กำลังรันอยู่

พอร์ตประเภทสแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

TCP สแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

สแกนเนอร์ที่ง่ายที่สุดพอร์ตการใช้งานเครือข่ายการทำงานของระบบปฏิบัติการและโดยทั่วไปเป็นตัวเลือกถัดไปที่จะไปเมื่อ SYN ไม่ได้เป็นตัวเลือกที่เป็นไปได้ (ตามที่อธิบายต่อไป) Nmapนี้เรียกว่าโหมดการเชื่อมต่อสแกนการตั้งชื่อตาม Unix เชื่อมต่อ () โทรระบบ ถ้าพอร์ตเปิดระบบปฏิบัติการเสร็จสมบูรณ์TCPจับมือสามทางและสแกนพอร์ตปิดการเชื่อมต่อทันทีเพื่อหลีกเลี่ยงการดำเนินการชนิดของการโจมตีแบบ Denial-Of-Service[ 3 ]มิฉะนั้นรหัสข้อผิดพลาดจะถูกส่งกลับ นี้โหมดการสแกนมีความได้เปรียบที่ผู้ใช้ไม่จำเป็นต้องมีสิทธิพิเศษ อย่างไรก็ตามการใช้ระบบปฏิบัติการเครือข่ายการทำงานเพื่อป้องกันไม่ให้การควบคุมในระดับต่ำดังนั้นนี้ประเภทสแกนร่วมกันน้อยลง วิธีการนี้คือ "noisy" โดยเฉพาะอย่างยิ่งถ้ามันเป็น " portsweep "บริการสามารถเข้าสู่ระบบที่อยู่ IP ของผู้ส่งและระบบตรวจจับการบุกรุกสามารถส่งสัญญาณเตือนภัย

SYN สแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

SYNสแกนเป็นรูปแบบของ TCP การสแกนอีก แทนที่จะใช้เครือข่ายการทำงานของระบบปฏิบัติการ, สแกนพอร์ตสร้างแพ็กเก็ต IP ดิบตัวเองและตรวจสอบสำหรับการตอบสนอง สแกนชนิดนี้เป็นที่รู้จักกันว่าเป็น "สแกนครึ่งเปิด" เพราะมันไม่จริงเปิดการเชื่อมต่อ TCP เต็ม สแกนพอร์ตสร้าง SYN แพคเก็ต ถ้าพอร์ตเป้าหมายเปิดให้บริการก็จะตอบสนองกับแพ็คเก็ต SYN-ACK โฮสต์สแกนเนอร์ตอบสนองกับแพ็คเก็ต RST, ปิดการเชื่อมต่อก่อนที่จะจับมือกันจะเสร็จสมบูรณ์[ 3 ]ถ้าพอร์ตจะปิด แต่การกลั่นกรองเป้าหมายทันทีจะตอบสนองกับแพ็คเก็ต RST
การใช้งานของเครือข่ายดิบมีข้อได้เปรียบหลายให้สแกนเนอร์การควบคุมเต็มรูปแบบของแพ็กเก็ตที่ส่งและหมดเวลาสำหรับการตอบสนองและให้รายงานรายละเอียดของการตอบสนอง มีการอภิปรายมากกว่าการสแกนซึ่งเป็นล่วงล้ำน้อยลงในโฮสต์เป้าหมาย SYN สแกนมีประโยชน์ที่แต่ละบริการไม่จริงรับการเชื่อมต่อ แต่การจับมือกันระหว่าง RST สามารถทำให้เกิดปัญหาสำหรับบางกองเครือข่ายในอุปกรณ์ที่เรียบง่ายโดยเฉพาะอย่างยิ่งเช่นเครื่องพิมพ์ ไม่มีข้อโต้แย้งข้อสรุปทางใดทางหนึ่งเป็น

UDP สแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

UDP สแกนยังเป็นไปได้แม้ว่าจะมีความท้าทายทางเทคนิคUDPเป็นconnectionlessโปรโตคอลจึงมีเทียบเท่ากับแพ็คเก็ต TCP SYN ไม่ แต่ถ้าแพ็คเก็ต UDP ถูกส่งไปยังพอร์ตที่ไม่ได้เปิดระบบจะตอบสนองกับICMPข้อความไม่สามารถเข้าถึงพอร์ต มากที่สุด UDP พอร์ตสแกนเนอร์ที่ใช้วิธีนี้การสแกนและใช้กรณีที่ไม่มีการตอบสนองเพื่อสรุปว่าพอร์ตที่เปิดให้บริการ แต่ถ้าพอร์ตถูกบล็อกโดยไฟร์วอลล์วิธีนี้จะรายงานเท็จว่าพอร์ตที่เปิดให้บริการ ถ้าข้อความไม่สามารถเข้าถึงพอร์ตถูกบล็อคพอร์ตทั้งหมดจะปรากฏขึ้นเปิด วิธีนี้จะได้รับผลกระทบด้วย ICMP อัตรา จำกัด . [ 4 ]
วิธีการทางเลือกคือการส่งแพ็กเก็ต UDP ใช้เฉพาะหวังที่จะสร้างการตอบสนองต่อชั้นการประยุกต์ ตัวอย่างเช่นการส่งแบบสอบถาม DNS ไปยังพอร์ต 53 จะส่งผลในการตอบสนองถ้าเซิร์ฟเวอร์ DNS เป็นปัจจุบัน วิธีนี้เป็นวิธีที่เชื่อถือได้มากขึ้นที่ระบุพอร์ตที่เปิด แต่ก็จะถูก จำกัด การสแกนพอร์ตที่ packet ที่ส่งโปรแกรมเฉพาะสามารถใช้ได้ เครื่องมือบางอย่าง (เช่นnmap ) โดยทั่วไปมีฟิวส์สำหรับน้อยกว่า 20 บริการ UDP ในขณะที่บางเครื่องมือเชิงพาณิชย์ (เช่นnessus ) มีมากถึง 70 ในบางกรณีบริการอาจจะฟังในพอร์ต แต่การกำหนดค่าไม่ได้ที่จะตอบสนอง packet ที่ส่งไปโดยเฉพาะอย่างยิ่ง
เพื่อรับมือกับข้อ จำกัด ที่แตกต่างกันของแต่ละวิธีการสแกนเนอร์บางคนเสนอวิธีไฮบริด ตัวอย่างเช่นการใช้ nmap กับตัวเลือก-SUV จะเริ่มต้นด้วยการใช้พอร์ตวิธี ICMP ไม่สามารถเข้าถึงเครื่องหมายพอร์ตทั้งหมดว่า "ปิด" หรือ "เปิด | กรอง" เปิด | พอร์ตกรองจะแล้วหยั่งสำหรับการตอบสนองของโปรแกรมประยุกต์และการทำเครื่องหมายเป็น "เปิด" ถ้าหนึ่งจะได้รับ

สแกน ACK แหล่งที่มาแก้ไข | แก้ไขเบต้า ]

สแกน ACK เป็นหนึ่งในไม่ซ้ำกันมากชนิดสแกนมันไม่ตรงกับตรวจสอบว่าพอร์ตเปิดหรือปิด แต่ไม่ว่าพอร์ตจะถูกกรองหรือการกลั่นกรอง นี้เป็นสิ่งที่ดีโดยเฉพาะอย่างยิ่งเมื่อพยายามที่จะแสดงความคิดเห็นสำหรับการดำรงอยู่ของไฟร์วอลล์และ rulesets ของ การกรองแพ็คเก็ตที่เรียบง่ายจะช่วยให้การเชื่อมต่อที่จัดตั้งขึ้น (แพ็คเก็ตกับชุดบิต ACK) ในขณะที่ stateful ไฟร์วอลล์ที่มีความซับซ้อนมากขึ้นอาจไม่ได้[ 5 ]

สแกนหน้าต่างแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

ที่ไม่ค่อยได้ใช้เพราะธรรมชาติเก่าของสแกนหน้าต่างคือไม่น่าไว้วางใจอย่างเป็นธรรมในการพิจารณาว่าพอร์ตจะเปิดหรือปิด มันสร้างแพ็คเก็ตเช่นเดียวกับการสแกน ACK แต่การตรวจสอบว่าเขตข้อมูลหน้าต่างของแพ็กเก็ตได้รับการแก้ไข เมื่อแพ็คเก็ตมาถึงปลายทางของข้อบกพร่องออกแบบความพยายามที่จะสร้างขนาดหน้าต่างสำหรับแพ็คเก็ตถ้าพอร์ตเปิดการตั้งค่าสถานะด้านหน้าต่างของแพ็กเก็ตที่มีของ 1 ก่อนที่จะส่งกลับไปยังผู้ส่ง นี้โดยใช้เทคนิคการสแกนด้วยระบบที่ไม่สนับสนุนการดำเนินการนี้จะส่งกลับ 0 สำหรับเขตข้อมูลหน้าต่างติดฉลากพอร์ตที่เปิดปิดเป็น[ 6 ]

FIN สแกนแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

ตั้งแต่การสแกน SYN ไม่ลับ ๆ ล่อ ๆ พอไฟร์วอลล์โดยทั่วไปสำหรับการสแกนและการปิดกั้นแพ็กเก็ตในรูปแบบของแพ็กเก็ต SYN [ 3 ] แพ็คเก็ต FINสามารถที่จะผ่านไฟร์วอลล์กับการปรับเปลี่ยนจุดประสงค์ของมันไม่มีปิดพอร์ตตอบแพ็คเก็ต FIN กับแพ็คเก็ต RST ที่เหมาะสมในขณะที่การเปิดพอร์ตที่ไม่สนใจแพ็คเก็ตในมือ นี่คือพฤติกรรมทั่วไปเนื่องจากลักษณะของ TCP และอยู่ในวิธีการบางอย่างหลีกเลี่ยงไม่ได้ล่มสลาย[ 7 ]

สแกนประเภทอื่น ๆที่มาแก้ไข | แก้ไขเบต้า ]

บางชนิดผิดปกติมากขึ้นสแกนอยู่ เหล่านี้มีข้อ จำกัด ที่แตกต่างและไม่ได้ใช้กันอย่างแพร่หลายNmapสนับสนุนมากที่สุดของเหล่านี้[ 5 ]
  • X-masและการสแกนของ Null - มีความคล้ายคลึงกับการสแกน FINแต่[ 3 ] :
    • X-mas ส่งแพ็คเก็ตที่มี FIN, URG และธง PUSH เปิดเหมือนต้นคริสมาสต์
    • Null ส่งแพ็คเก็ตที่ไม่มีธง TCP ตั้ง
  • พิธีสารสแกน - กำหนดสิ่งที่ระดับโปรโตคอล IP (TCP, UDP, GRE , ฯลฯ ) จะเปิดการใช้งาน
  • พร็อกซีสแกน - พร็อกซี่ ( ถุงเท้าหรือHTTP ) ใช้เพื่อทำการสแกน เป้าหมายจะเห็นที่อยู่ IP พร็อกซี่ในฐานะที่เป็นแหล่งที่มาของ นี้ยังสามารถทำได้โดยใช้บางส่วนFTPเซิร์ฟเวอร์
  • สแกน Idle - วิธีการสแกนโดยไม่ต้องหนึ่งที่อยู่ IP เปิดเผยอีก, การใช้ประโยชน์จากหมายเลขไอพีที่คาดการณ์ข้อบกพร่อง
  • CatSCAN - ตรวจสอบพอร์ตสำหรับแพ็กเก็ตที่ผิดพลาด
  • ICMPสแกน - กำหนดว่าโฮสต์ตอบสนองต่อคำขอเช่นก้อง ( ping ) netmask ฯลฯ

พอร์ตการกรองโดยผู้ให้บริการอินเทอร์เน็ตแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

หลายผู้ให้บริการอินเทอร์เน็ตจำกัดความสามารถของลูกค้าในการดำเนินการสแกนพอร์ตไปยังสถานที่ที่อยู่นอกเครือข่ายภายในบ้านของพวกเขา นี้มักจะได้รับการคุ้มครองในแง่ของการให้บริการหรือการใช้งานนโยบายที่ยอมรับได้เพื่อที่ลูกค้าต้องยอมรับ[ 8 ] [ 9 ] ISP บางใช้ตัวกรองแพ็คเก็ตหรือผู้รับมอบฉันทะโปร่งใสที่ป้องกันไม่ให้ร้องขอบริการออกไปยังพอร์ตบาง ตัวอย่างเช่นถ้า ISP ให้พร็อกซี HTTP โปร่งใส port 80 สแกนของที่อยู่ใด ๆ จะปรากฏขึ้นที่จะมีการเปิดพอร์ต 80 โดยไม่คำนึงถึงโฮสต์เป้าหมายของการกำหนดค่าที่เกิดขึ้นจริง

จริยธรรมแหล่งที่มาแก้ไข | แก้ไขเบต้า ]

ข้อมูลที่รวบรวมโดยการสแกนพอร์ตมีการใช้งานถูกต้องตามกฎหมายจำนวนมากรวมทั้งสินค้าคงคลังเครือข่ายและการตรวจสอบการรักษาความปลอดภัยของเครือข่าย สแกนพอร์ตสามารถ แต่ยังสามารถใช้เพื่อการประนีประนอมการรักษาความปลอดภัย พฤติกรรมหลายพึ่งพาสแกนพอร์ตเพื่อหาพอร์ตที่เปิดและส่งข้อมูลเฉพาะรูปแบบในความพยายามที่จะก่อให้เกิดสภาพที่เรียกว่าหน่วยความจำล้น . พฤติกรรมดังกล่าวสามารถประนีประนอมการรักษาความปลอดภัยของเครือข่ายและคอมพิวเตอร์นั้นเกิดการสูญเสียหรือการเปิดเผยข้อมูลที่สำคัญและความสามารถในการทำผลงาน[ 3 ]
ระดับการคุกคามที่เกิดจากการสแกนพอร์ตสามารถแตกต่างกันอย่างมากตามวิธีการที่ใช้ในการสแกนชนิดของพอร์ตสแกนจำนวนของค่าของโฮสต์ที่กำหนดเป้าหมายและผู้ดูแลระบบที่ตรวจสอบโฮสต์ แต่การสแกนพอร์ตมักจะถูกมองเป็นขั้นตอนแรกสำหรับการโจมตี, จึงถือว่าอย่างจริงจังเพราะมันสามารถเปิดเผยข้อมูลที่สำคัญมากเกี่ยวกับการเป็นเจ้าภาพ[ 10 ]อย่างไรก็ตามเรื่องนี้น่าจะเป็นของการสแกนพอร์ตตามเพียงอย่างเดียวจากการโจมตีของจริงที่มีขนาดเล็ก ความน่าจะเป็นของการโจมตีมากขึ้นเมื่อมีการสแกนพอร์ตที่เกี่ยวข้องกับการสแกนช่องโหว่ . [ 11 ]

ผลทางกฎหมายที่มาแก้ไข | แก้ไขเบต้า ]

เพราะโดยเนื้อแท้ของสถาปัตยกรรมแบบเปิดและกระจายอำนาจของอินเทอร์เน็ตฝ่ายนิติบัญญัติได้ต่อสู้นับตั้งแต่การสร้างที่จะกำหนดขอบเขตทางกฎหมายที่อนุญาตให้มีการฟ้องร้องที่มีประสิทธิภาพของอาชญากรไซเบอร์ . กรณีที่เกี่ยวข้องกับกิจกรรมการสแกนพอร์ตเป็นตัวอย่างของปัญหาที่พบในการตัดสินการละเมิด แม้ว่ากรณีเหล่านี้เป็นของหายากมากที่สุดของเวลาที่กระบวนการทางกฎหมายที่เกี่ยวข้องกับการพิสูจน์ว่ามีเจตนาที่จะกระทำการแตกในหรือการเข้าถึงไม่ได้รับอนุญาตมีอยู่มากกว่าแค่การทำงานของสแกนพอร์ต:
  • ในเดือนมิถุนายนปี 2003 อิสราเอล, Avi มิซถูกกล่าวหาโดยตำรวจอิสราเอลของการกระทำผิดจากความพยายามที่ไม่ได้รับอนุญาตจากวัสดุคอมพิวเตอร์ เขามีพอร์ตสแกนมอสสาดเว็บไซต์ เขาพ้นข้อหาทั้งหมดใน 29 กุมภาพันธ์ 2004 ผู้พิพากษาตัดสินว่าเหล่านี้ชนิดของการกระทำที่ไม่ควรท้อแท้เมื่อพวกเขาจะดำเนินการในทางบวก[ 12 ]
  • 17 ปีเก่าฟินแลนด์ถูกกล่าวหาว่าเป็นของเครื่องคอมพิวเตอร์พยายามทำลายโดยธนาคารในฟินแลนด์ที่สำคัญ ที่ 9 เมษายน 2003 เขาถูกตัดสินลงโทษเสียค่าใช้จ่ายโดยศาลฎีกาและสั่งให้จ่ายเงิน 12,000 ดอลลาร์สหรัฐสำหรับค่าใช้จ่ายของการวิเคราะห์ทางนิติเวชที่ทำโดยธนาคาร ในปี 1998 เขามีพอร์ตสแกนเครือข่ายธนาคารในความพยายามที่จะเข้าถึงเครือข่ายปิด แต่ล้มเหลวที่จะทำเช่นนั้น[ 13 ]
  • ในเดือนธันวาคมปี 1999 สกอตต์มอลถูกจับโดยเอฟบีไอและถูกกล่าวหาว่าบุกรุกคอมพิวเตอร์ภายใต้ความพยายามของจอร์เจียพระราชบัญญัติคอมพิวเตอร์และระบบการป้องกันการทุจริตคอมพิวเตอร์และพระราชบัญญัติการใช้ผิดวิธีของอเมริกา . ในเวลานี้ บริษัท ที่ให้บริการของเขามันมีสัญญาต่อเนื่องกับเชอโรกีมณฑลของรัฐจอร์เจียในการรักษาและอัพเกรด 911 ศูนย์รักษาความปลอดภัย เขาทำสแกนพอร์ตหลายบนเซิร์ฟเวอร์เชอโรกีมณฑลในการตรวจสอบการรักษาความปลอดภัยของพวกเขาและในที่สุดพอร์ตสแกนเว็บเซิร์ฟเวอร์การตรวจสอบโดย บริษัท อื่นไอทียั่ว TIFF ซึ่งสิ้นสุดลงในศาล เขาได้รับการปล่อยตัวในปี 2000 การพิจารณาคดีผู้พิพากษามีความเสียหาย impairing ความสมบูรณ์และความพร้อมของเครือข่ายไม่มี[ 14 ]
ในปี 2006 สหราชอาณาจักรรัฐสภามีมติให้แก้ไขคอมพิวเตอร์ผิดตามพระราชบัญญัติ 1990ที่พิสูจน์คนที่ "ทำให้ความผิด, ปรับ, อุปกรณ์หรือข้อเสนอที่จะจัดหาบทความรู้ว่ามันได้รับการออกแบบหรือดัดแปลงเพื่อใช้ในหลักสูตรของหรือในการเชื่อมต่อใด ๆ ที่มีความผิดตามมาตรา 1 หรือ 3 [จาก CMA] " [ 15 ]อย่างไรก็ตามพื้นที่ของผลกระทบของการเปลี่ยนแปลงนี้จะเบลอและได้รับการวิพากษ์วิจารณ์อย่างกว้างขวางโดยผู้เชี่ยวชาญด้านความปลอดภัยเช่นนี้[ 16 ]
เยอรมนีกับStrafgesetzbuch § 202A, B, C ยังมีกฎหมายที่คล้ายกันและสภาของสหภาพยุโรปได้ออกมาแถลงข่าวระบุว่าพวกเขาวางแผนที่จะผ่านหนึ่งที่คล้ายกันมากเกินไปแม้ว่าจะแม่นยำมากขึ้น[ 17 ]


ที่มา  





ไม่มีความคิดเห็น:

แสดงความคิดเห็น