Aktualności

Scanning – czym jest i na czym polega skanowanie portów

Artykuł / 27.10.2022

Scanning – czym jest i na czym polega skanowanie portów

Oszuści i złodzieje działający w przestrzeni wirtualnej mają bardzo wiele możliwości popełniania cyberprzestępstw. Jednym z nich jest skanowanie portów

Z raportu CERT Polska na temat stanu bezpieczeństwa w polskim internecie wynika, że w 2021 roku zespół CSIRT NASK odnotował 116 071 zgłoszeń potencjalnego wystąpienia incydentu teleinformatycznego. Z czego blisko 35% okazało się unikalnymi incydentami cyberbezpieczeństwa (29483). Według danych z raportu CSIRT GOV w roku 2020, podobnie jak w roku 2019 najwięcej incydentów zostało sklasyfikowanych w trzech następujących kategoriach: wirus (16777), skanowanie (2604), phishing (1396).

Czym jest skanowanie portów?

Jest to działanie polegające na wysyłaniu pakietów TCP lub UDP do systemu lub systemów (dowolnego typu: komputerów, drukarek, routerów) dostępnych przez sieć TCP/IP, celem sprawdzenia otwartych portów i dostępnych serwisów. Jest to także proces wysyłania pakietów do określonych portów na hoście i analizowania odpowiedzi w celu określenia luk w zabezpieczeniach. Dzięki skanowaniu istnieje ryzyko uzyskania wielu informacji o: systemie operacyjnym, dostępnych usługach sieciowych, wersji programów obsługujących udostępnione usługi.

W jednym z wykładów na temat bezpieczeństwa systemów informatycznych dr inż. Zbigniew Suski dokładnie wyjaśnia, na czym polega i jak wykorzystywane jest skanowanie:

Skanowanie jest powszechnie stosowaną metodą zdalnego wykrywania komputerów i usług udostępnianych przez te komputery. Metoda ta polega na próbkowaniu aktywności badanego komputera, poprzez wysyłanie do niego specjalnie spreparowanych pakietów i oczekiwaniu na odpowiedź. Po odebraniu odpowiedzi przystępujemy do jej interpretacji. Skanowanie pełni rolę wywiadu, który dostarcza informacji o zdarzeniach i urządzeniach w sieci. Pozwala stwierdzić, które urządzenia i serwisy sieciowe działają, a które nie. Można zdalnie określić, czy dany komputer jest aktywny, rozpoznać uruchomione na nim serwisy oraz system operacyjny. Skanowanie może pomóc również w rozpoznaniu topologii sieci i konfiguracji urządzeń dostępowych (np.: list kontroli dostępu, tablic rutowania). Jest ono wykorzystywane przez administratorów do rozwiązywania problemów z siecią, jak również przez intruzów w celach rozpoznawczych.

 

Istnieje wiele technik skanowania portu, każda z nich służy do innych celów. Warto jednak wiedzieć, że cyberprzestępcy wybierają konkretną technikę skanowania portów w zależności od celu lub strategii ataku.

Poniżej kilka technik i sposoby ich działania:

  • Skanowanie typu ping: Najprostsze skanowanie portów. Polecenia ping używa się w sieci do sprawdzania, czy można dostarczyć pakiet danych sieciowych do adresu IP bez błędów. Tego typu skanowanie polega na użyciu żądań protokołu ICMP (Internet Control Message Protocol) — wysyłana jest automatyczna seria kilku żądań ICMP do różnych serwerów, co ma na celu sprowokowanie odpowiedzi. Administratorzy IT mogą korzystać z tej techniki do rozwiązywania problemów lub wyłączyć skanowanie typu ping przy użyciu zapory ogniowej, co uniemożliwia przestępcom znalezienie sieci za pomocą poleceń ping.
  • Skanowanie półotwarte lub SYN (skrót od słowa „synchronize”): to taktyka używana przez atakujących do określenia stanu portu bez nawiązania pełnego połączenia. Przy tego typu skanowaniu wysyłany jest tylko komunikat SYN — połączenie nie jest realizowane, a odbiorca pozostaje w zawieszeniu. Ta szybka i podstępna technika ma na celu znalezienie potencjalnych otwartych portów w docelowych urządzeniach.
  • Skanowanie XMAS: jest bardzo ciche, przez co zapory ogniowe mają problem z jego wykryciem. Na przykład pakiety FIN są zazwyczaj wysyłane z serwera lub klienta w celu zakończenia połączenia po ustanowieniu trójstopniowego uzgodnienia protokołu TCP i udanym przekazaniu danych, co jest sygnalizowane komunikatem „nadawca nie udostępnia już żadnych danych”. Zapory ogniowe często nie wykrywają pakietów FIN, ponieważ poszukują głównie pakietów SYN. Skanowanie XMAS rzadko pojawia się w dziennikach monitorowania; to podstępny sposób na zapoznanie się z zabezpieczeniami sieci i zaporą ogniową.

Wyniki skanowania portów informują o stanie sieci lub serwera i dzielą się na trzy kategorie: otwarte, zamknięte lub filtrowane.

Skanowane portów to stara technika. Aby chronić się przed zagrożeniem z niej wynikających, niezbędne są zmiany zabezpieczeń oraz aktualne mechanizmy analizy zagrożeń. Należy również korzystać z zapór ogniowych i alertów dotyczących skanowania portów w celu monitorowania ruchu docierającego do portów oraz uniemożliwienia atakującym zidentyfikowania potencjalnych okazji do uzyskania nieautoryzowanego dostępu do sieci.

#cyberbezpieczeństwo #cyberataki #skanowanie portów #scanning #NASK

Autor: Mariola Błażej

/kontakt/deklaracja-dostepnosci/polityka-prywatnosci/