連接埠掃描是一種網路偵察技術,旨在識別電腦上開啟的連接埠。當某些程式偵聽特定連接埠並以某些方式對流量做出反應時,這可以使掃描器識別系統上執行的應用程式。例如,HTTP 使用連接埠 80,DNS 使用連接埠 53,而 SSH 使用連接埠 22。
IP 位址對於透過網路路由流量至關重要。IP位址唯一地識別封包應路由到的裝置。但是,知道特定計算機應接收數據包並不足以實現它到達目的地。 一台電腦可以同時運行許多不同的應用程序,並且多個應用程式可能同時透過網路發送和接收流量。
TCP 和 UDP 通訊協定定義電腦上連接埠的概念。 應用程式可以發送流量並偵聽特定連接埠。IP 位址和連接埠的組合使路由裝置和端點能夠確保流量到達預期的應用程式。
通訊埠掃描器 (例如 nmap) 通過將流量傳送到特定連接埠並檢查結果來運作。 如果連接埠已開啟、關閉或由 A 篩選 network security 解決方案,它將以不同的方式回應端口掃描,包括:
不同的電腦會以不同的方式回應不同的封包。 此外,某些類型的端口掃描比其他類型更明顯。 因此,端口掃描器可能會使用各種掃描技術。
一些更常見的連接埠掃描類型包括:
連接埠掃描可以提供有關目標系統的豐富資訊。 除了識別系統是否在線上以及哪些連接埠開啟之外,連接埠掃描器還可以識別偵聽特定連接埠的應用程式以及主機的作業系統。這些額外資訊可以從系統回應特定類型的請求方式的差異中獲得。
端口掃描是偵察階段的一個常見步驟 cyberattack。連接埠掃描提供有關目標環境的寶貴信息,包括在線計算機、在其上運行的應用程式以及有關相關係統及其可能具有的任何防禦措施(防火牆等)的潛在詳細信息。
這些信息在計劃攻擊時可以很有用。 例如,知道某個組織正在運行特定的 Web 或 DNS 伺服器,攻擊者就可以識別出該軟體中潛在的可利用脆弱性。
連接埠掃描器使用的許多技術都可以在網路流量中偵測到。許多連接埠的流量(其中一些連接埠已關閉)是異常的,可以透過 IPS 等網路安全解決方案進行檢測。此外,防火牆還可以過濾未使用的連接埠或實施存取控制列表,限制提供給連接埠掃描器的資訊。
Check Point’s Quantum IPS 提供防範連接埠掃描和其他網路威脅。 要了解有關 Quantum IPS 可以管理的其他威脅的更多信息,請查看 Check Point 的 2023 年網路安全防護報告. You’re also welcome to 報名參加免費示範 親自了解 Quantum IPS 的功能。