การสแกนพอร์ตคืออะไร? กระบวนการนี้คล้ายกับขโมยที่เดินผ่านละแวกบ้านของคุณ โดยตรวจดูประตูและหน้าต่างทุกบานในบ้านทุกหลังเพื่อดูว่าประตูไหนเปิดอยู่และบานไหนล็อคอยู่
TCP (Transmission Control Protocol) และ UDP (User Datagram Protocol)เป็นโปรโตคอลสองชุดที่ประกอบขึ้นเป็นชุดโปรโตคอล TCP/IPซึ่งมักใช้สำหรับการสื่อสารบนอินเทอร์เน็ต แต่ละโปรโตคอลมีพอร์ตที่ใช้ได้ตั้งแต่ 0 ถึง 65535 ดังนั้นจึงมีประตูมากกว่า 65,000 ประตูให้ล็อค
การสแกนพอร์ตทำงานอย่างไร
ซอฟต์แวร์การสแกนพอร์ตในสถานะพื้นฐานที่สุด จะส่งคำขอการเชื่อมต่อไปยังคอมพิวเตอร์เป้าหมายในแต่ละพอร์ตตามลำดับ และบันทึกว่าพอร์ตใดตอบสนองหรือปรากฏว่าเปิดอยู่เพื่อตรวจสอบเชิงลึกมากขึ้น
การสแกนท่าเรือนั้นคล้ายกับโจรที่บุกเข้าไปในละแวกบ้านของคุณ โดยจะตรวจสอบประตูและหน้าต่างทุกบานในบ้านทุกหลังเพื่อดูว่าประตูไหนเปิดอยู่และประตูไหนล็อคอยู่
หากการสแกนพอร์ตเสร็จสิ้นโดยมีเจตนาร้าย ผู้บุกรุกมักจะต้องการที่จะไม่ถูกตรวจจับ คุณสามารถกำหนดค่าแอปพลิเคชันความปลอดภัยเครือข่ายเพื่อแจ้งเตือนผู้ดูแลระบบหากตรวจพบคำขอการเชื่อมต่อบนพอร์ตหลายประเภทจากโฮสต์เดียว
เพื่อแก้ไขปัญหานี้ ผู้บุกรุกสามารถทำการสแกนพอร์ตในโหมด Strobe หรือ Stealth Strobe จำกัดพอร์ตให้เหลือชุดเป้าหมายที่เล็กลง แทนที่จะสแกนพอร์ต 65536 ทั้งหมด Stealth ใช้เทคนิคต่างๆ เช่น การชะลอกระบวนการสแกน ด้วยการสแกนพอร์ตเป็นระยะเวลานาน โอกาสที่เป้าหมายที่ทำให้เกิดสัญญาณเตือนจะลดลง
ด้วยการตั้งค่าแฟล็ก TCP หรือการส่งแพ็กเก็ต TCP ประเภทต่างๆ การสแกนพอร์ตสามารถสร้างผลลัพธ์ที่แตกต่างกันหรือค้นหาพอร์ตที่เปิดอยู่ในวิธีที่ต่างกัน
การสแกน SYN จะบอกเครื่องสแกนพอร์ตว่าพอร์ตใดกำลังฟังอยู่และพอร์ตใดไม่อยู่ ขึ้นอยู่กับประเภทของการตอบสนองที่สร้างขึ้น การสแกน FIN จะสร้างการตอบสนองจากพอร์ตที่ปิด แต่พอร์ตที่เปิดอยู่และฟังอยู่จะไม่ตอบสนอง ดังนั้นเครื่องสแกนพอร์ตจะสามารถระบุได้ว่าพอร์ตใดเปิดอยู่และพอร์ตใดที่ไม่เปิดอยู่
มีหลายวิธีในการสแกนพอร์ตจริง รวมถึงเคล็ดลับในการซ่อนแหล่งที่มาของการสแกนพอร์ต
วิธีตรวจสอบการสแกนพอร์ต
สามารถตรวจสอบการสแกนพอร์ตบนเครือข่ายของคุณได้ เคล็ดลับ เช่นเดียวกับสิ่งส่วนใหญ่ในการรักษาความปลอดภัยข้อมูล คือการค้นหาสมดุลที่เหมาะสมระหว่างประสิทธิภาพและความปลอดภัยของเครือข่าย
คุณสามารถตรวจสอบการสแกน SYN ได้โดยบันทึกความพยายามในการส่งแพ็กเก็ต SYN ไปยังพอร์ตที่ไม่ได้เปิดหรือกำลังฟังอยู่ อย่างไรก็ตาม แทนที่จะได้รับการแจ้งเตือนเมื่อความพยายามแต่ละครั้งเกิดขึ้น ให้ตัดสินใจเกี่ยวกับเกณฑ์ที่จะทริกเกอร์การแจ้งเตือน ตัวอย่างเช่น การแจ้งเตือนจะทริกเกอร์หากมีแพ็กเก็ต SYN มากกว่า 10 แพ็กเก็ตพยายามเข้าถึงพอร์ตที่ไม่รับฟังภายในจำนวนนาทีที่กำหนด
คุณสามารถออกแบบตัวกรองและกับดักเพื่อตรวจจับวิธีการสแกนพอร์ตที่หลากหลาย ดูการเพิ่มขึ้นอย่างรวดเร็วของแพ็กเก็ต FIN หรือความพยายามในการเชื่อมต่อจำนวนที่ผิดปกติกับช่วงของพอร์ตหรือที่อยู่ IP จากแหล่ง IP
เพื่อช่วยให้แน่ใจว่าเครือข่ายของคุณได้รับการปกป้องและปลอดภัย คุณอาจต้องการสแกนพอร์ตของคุณเอง หมายเหตุสำคัญที่นี่คือการตรวจสอบให้แน่ใจว่าคุณได้รับการอนุมัติจากอำนาจทั้งหมดที่มีอยู่ก่อนเริ่มดำเนินการโครงการนี้ มิฉะนั้นคุณจะพบว่าตัวเองอยู่ผิดด้านของกฎหมาย
Nmap ช่วยให้คุณควบคุมกระบวนการสแกนได้เกือบทุกด้าน
เพื่อให้ได้ผลลัพธ์ที่แม่นยำที่สุด ให้ทำการสแกนพอร์ตจากสถานที่ระยะไกลโดยใช้อุปกรณ์ที่ไม่ใช่ของบริษัทและ ISP อื่น เมื่อใช้ซอฟต์แวร์เช่น Nmap คุณสามารถสแกนที่อยู่ IPและพอร์ตต่างๆ ได้ ค้นหาว่าผู้โจมตีจะเห็นอะไรบ้างหากพวกเขาสแกนพอร์ตเครือข่ายของคุณ โดยเฉพาะอย่างยิ่ง Nmap ช่วยให้คุณควบคุมกระบวนการสแกนได้เกือบทุกด้านและทำการสแกนพอร์ตประเภทต่างๆ เพื่อให้เหมาะกับความต้องการของคุณ
เมื่อคุณพบว่าพอร์ตใดตอบสนองเมื่อเปิดโดยการสแกนพอร์ตเครือข่าย คุณสามารถเริ่มทำงานเพื่อตรวจสอบว่าพอร์ตเหล่านั้นมีการเข้าถึงจากภายนอกเครือข่ายหรือไม่
หากไม่จำเป็น คุณควรปิดการใช้งานหรือบล็อกมัน หากจำเป็น คุณสามารถเริ่มค้นหาช่องโหว่และช่องโหว่ ประเภทใดที่เครือข่ายของคุณเปิดอยู่ โดยการเข้าถึงพอร์ตเหล่านี้ และใช้แพตช์หรือการบรรเทาที่เหมาะสมเพื่อปกป้องเครือข่ายให้มากที่สุด เป็นไปได้