HTGはポートスキャンとは何ですか?
ポートスキャンは、ドアがロックされているかどうかを確認するためにドアノブの束を揺り動かすようなものです。スキャナは、ルータまたはファイアウォールのどのポートが開いているかを知り、この情報を使ってコンピュータシステムの潜在的な弱点を見つけることができます。.
ポートとは?
デバイスがネットワークを介して別のデバイスに接続するときは、0から65535までのTCPまたはUDPポート番号を指定します。ただし、一部のポートはより頻繁に使用されます。 TCPポート0〜1023は、システムサービスを提供する「既知のポート」です。たとえば、ポート20はFTPファイル転送、ポート22はセキュアシェル(SSH)端末接続、ポート80は標準HTTP Webトラフィック、ポート443は暗号化されたHTTPSです。そのため、安全なWebサイトに接続すると、Webブラウザはそのサーバのポート443で待機しているWebサーバと通信します。.
サービスは常にこれらの特定のポートで実行する必要はありません。たとえば、ポート32342でHTTPS Webサーバーを実行したり、ポート65001でSecure Shellサーバーを実行したりできます。これらは単なる標準のデフォルトです.
ポートスキャンとは?
ポートスキャンは、IPアドレスにあるすべてのポートを開いて閉じているかどうかを確認するプロセスです。ポートスキャニングソフトウェアは、ポート0、ポート1、ポート2、そしてポート65535までをすべてチェックします。これは、各ポートに要求を送信し、応答を要求することによって行います。最も単純な形式では、ポートスキャニングソフトウェアは各ポートについて1つずつ尋ねます。リモートシステムは応答し、ポートが開いているか閉じているかを通知します。ポートスキャンを実行している人は、どのポートが開いているかを知ることができます。.
邪魔になるネットワークファイアウォールは、トラフィックをブロックしたりドロップしたりする可能性があるため、ポートスキャンは、そのリモートシステム上のどのポートが到達可能か、またはネットワークに公開されているかを見つける方法でもあります.
nmapツールはポートスキャンに使用される一般的なネットワークユーティリティですが、他にも多くのポートスキャンツールがあります。.
なぜ人々はポートスキャンを実行するのですか?
ポートスキャンはシステムの脆弱性を判断するのに役立ちます。ポートスキャンは、攻撃者にシステム上のどのポートが開いているかを知らせるため、攻撃計画を立てるのに役立ちます。たとえば、SSH(Secure Shell)サーバーがポート22をリッスンしていることが検出された場合、攻撃者は接続して弱いパスワードをチェックしようとする可能性があります。別の種類のサーバーが別のポートをリッスンしている場合、攻撃者はそれを突いて悪用可能なバグがあるかどうかを確認する可能性があります。おそらく古いバージョンのソフトウェアが実行されていて、既知のセキュリティホールがあります。.
この種のスキャンは、デフォルト以外のポートで実行されているサービスの検出にも役立ちます。そのため、ポート22ではなくポート65001でSSHサーバーを実行している場合、ポートスキャンでこれが明らかになり、攻撃者はそのポートでSSHサーバーに接続しようとする可能性があります。システムを保護するためにデフォルト以外のポートでサーバーを隠すことはできませんが、サーバーを見つけるのが難しくなります。.
ポートスキャンは攻撃者によって使用されるだけではありません。ポートスキャンは、防御的な侵入テストに役立ちます。組織は独自のシステムをスキャンして、どのサービスがネットワークに公開されているかを判断し、それらが安全に構成されていることを確認できます。.
ポートスキャンの危険性?
ポートスキャンは、攻撃者が攻撃の弱点を見つけてコンピュータシステムに侵入するのに役立ちます。ただし、これは最初の一歩に過ぎません。開いているポートを見つけたからといって、攻撃できるとは限りません。しかし、リスニングサービスを実行しているオープンポートを見つけたら、脆弱性をスキャンすることができます。それが本当の危険です.
あなたのホームネットワークでは、あなたはほぼ間違いなくあなたとインターネットの間に座っているルーターを持っています。インターネット上の誰かがあなたのルーターをポートスキャンすることしかできないでしょう、そして彼らはルーター自体の上の潜在的なサービス以外に何も見つけられないでしょう。そのルーターはファイアウォールとして機能します。ルーターからデバイスに個々のポートを転送した場合を除き、その場合、それらの特定のポートはインターネットに公開されます。.
コンピュータサーバーや企業ネットワークでは、ポートスキャンを検出し、スキャンしているアドレスからのトラフィックをブロックするようにファイアウォールを設定できます。インターネットに公開されているすべてのサービスが安全に設定されており、既知のセキュリティホールがない場合、ポートスキャンはあまりにも怖すぎてはいけません。.
ポートスキャンの種類
「TCPフル接続」ポートスキャンでは、スキャナはポートにSYN(接続要求)メッセージを送信します。ポートが開いていると、リモートシステムはSYN-ACK(確認)メッセージで応答します。スキャナはそれ自身のACK(確認)メッセージで応答します。これは完全なTCP接続ハンドシェイクであり、このプロセスが実行されると、スキャナはシステムがポート上の接続を受け入れていることを認識します。.
ポートが閉じていると、リモートシステムはRST(リセット)メッセージで応答します。リモートシステムがネットワーク上に存在していないだけでは、応答はありません。.
一部のスキャナは「TCPハーフオープン」スキャンを実行します。完全なSYN、SYN-ACK、それからACKサイクルを通過するのではなく、単にSYNを送信し、それに応じてSYN-ACKまたはRSTメッセージを待ちます。 SYN-ACKはスキャナに必要な情報をすべて伝えるので、接続を完了するために最後のACKを送信する必要はありません。より少ないパケットを送信する必要があるので高速です.
他の種類のスキャンでは、見知らぬ、不正な種類のパケットを送信し、リモートシステムがRSTパケットを返して接続を閉じるかどうかを確認します。存在する場合、スキャナはその場所にリモートシステムがあることを認識しており、特定のポートが閉じられていることを認識しています。パケットが受信されない場合、スキャナはポートが開いている必要があることを認識しています.
ソフトウェアが各ポートに関する情報を1つずつ要求する単純なポートスキャンは簡単に見つけることができます。ネットワークファイアウォールは、この動作を検出して停止するように簡単に設定できます。.
そのため、一部のポートスキャン技法では動作が異なります。たとえば、ポートスキャンでは、より狭い範囲のポートをスキャンしたり、もっと長い期間にわたって全範囲のポートをスキャンしたりするため、検出が困難になります。.
ポートスキャンは、コンピュータシステムに侵入する(そしてセキュリティを確保する)ことになると、基本的なブレッドアンドバターセキュリティツールです。しかし、それらは攻撃者が攻撃に対して脆弱な可能性があるポートを見つけることを可能にする単なるツールです。攻撃者にシステムへのアクセスを許可することはなく、安全に設定されたシステムは、問題なくフルポートスキャンに耐えることができます。.
画像のクレジット:xfilephotos / Shutterstock.com、Casezyアイデア/ Shutterstock.com.