Port Scanning là gì? Quá trình này tương tự như một tên trộm đi qua khu phố của bạn, kiểm tra mọi cửa ra vào và cửa sổ ở mỗi ngôi nhà để xem cái nào đang mở và cái nào bị khóa.
TCP (Transmission Control Protocol) và UDP (User Datagram Protocol) là hai trong số các giao thức tạo nên bộ giao thức TCP/IP, được sử dụng phổ biến để giao tiếp trên Internet. Mỗi giao thức đều có sẵn các cổng từ 0 đến 65535, vì vậy về cơ bản có hơn 65.000 cửa cần khóa.
Port Scanning hoạt động ra sao?
Phần mềm Port Scanning, ở trạng thái cơ bản nhất, gửi yêu cầu kết nối với máy tính mục tiêu trên mỗi cổng tuần tự và ghi chú lại cổng nào đã phản hồi hoặc có vẻ mở để thăm dò chuyên sâu hơn.
Nếu quá trình quét cổng diễn ra với ý đồ xấu, kẻ xâm nhập thường muốn không bị phát hiện. Bạn có thể cấu hình các ứng dụng bảo mật mạng để cảnh báo cho quản trị viên, nếu chúng phát hiện thấy các yêu cầu kết nối trên nhiều loại cổng từ một host duy nhất.
Để giải quyết vấn đề này, kẻ xâm nhập có thể thực hiện quét cổng ở chế độ Strobe hoặc Stealth. Strobe giới hạn các cổng trong một tập hợp mục tiêu nhỏ hơn thay vì quét toàn bộ 65536 cổng. Stealth sử dụng các kỹ thuật như làm chậm quá trình quét. Bằng cách quét các cổng trong một thời gian dài, khả năng mục tiêu kích hoạt cảnh báo sẽ giảm đi.
Bằng cách đặt các flag TCP hoặc gửi nhiều loại gói TCP khác nhau, quá trình quét cổng có thể tạo ra những kết quả khác nhau hoặc định vị các cổng đang mở theo nhiều cách khác nhau.
Quá trình quét SYN sẽ cho trình quét cổng biết cổng nào đang lắng nghe và cổng nào không, tùy thuộc vào loại phản hồi được tạo ra. Quá trình quét FIN sẽ tạo ra phản hồi từ các cổng đã đóng, còn những cổng đang mở và việc lắng nghe sẽ không phản hồi, vì vậy trình quét cổng sẽ có thể xác định cổng nào đang mở và cổng nào không.
Có một số phương pháp khác nhau để thực hiện quét cổng thực tế, cũng như các thủ thuật để ẩn nguồn quét cổng.
Cách giám sát việc quét cổng
Có thể giám sát việc quét cổng trên mạng của bạn. Bí quyết, cũng như hầu hết mọi thứ trong bảo mật thông tin, là tìm ra sự cân bằng phù hợp giữa hiệu suất và tính an toàn của mạng.
Bạn có thể theo dõi việc quét SYN bằng cách ghi lại bất kỳ nỗ lực nào để gửi gói SYN đến một cổng không mở hoặc đang lắng nghe. Tuy nhiên, thay vì được cảnh báo khi mỗi lần thử xảy ra, hãy quyết định các ngưỡng để kích hoạt cảnh báo. Ví dụ, một cảnh báo sẽ kích hoạt nếu có hơn 10 gói SYN cố gắng đến các cổng không lắng nghe trong một số phút nhất định.
Bạn có thể thiết kế các bộ lọc và bẫy để phát hiện nhiều phương pháp quét cổng, theo dõi sự gia tăng đột biến trong các gói FIN, hay một số lần cố gắng kết nối bất thường đến một loạt các cổng hoặc địa chỉ IP từ một nguồn IP.
Để giúp đảm bảo rằng mạng của bạn được bảo vệ và an toàn, bạn có thể muốn thực hiện việc quét cổng của riêng mình. Một lưu ý chính ở đây là hãy đảm bảo rằng bạn có sự chấp thuận của tất cả các quyền hạn trước khi bắt tay vào dự án này, nếu không bạn sẽ thấy mình đang làm sai luật.
Để có được kết quả chính xác nhất, hãy thực hiện quá trình quét cổng từ một vị trí từ xa bằng thiết bị không phải của công ty và một ISP khác. Sử dụng phần mềm như Nmap, bạn có thể quét một loạt các địa chỉ IP và cổng, tìm ra kẻ tấn công sẽ nhìn thấy gì nếu chúng quét cổng mạng của bạn. Đặc biệt, NMap cho phép bạn kiểm soát hầu hết mọi khía cạnh của quá trình quét và thực hiện các kiểu quét cổng khác nhau sao cho phù hợp với nhu cầu.
Sau khi bạn tìm ra cổng nào phản hồi khi được mở bằng việc quét cổng mạng, bạn có thể bắt đầu làm việc để xác định xem các cổng đó có phải được truy cập từ bên ngoài mạng hay không.
Nếu chúng không được yêu cầu, bạn nên tắt hoặc chặn chúng. Nếu chúng cần thiết, bạn có thể bắt đầu nghiên cứu xem mạng của bạn đang mở cho những loại lỗ hổng và exploit nào, bằng cách truy cập các cổng này và áp dụng các bản vá hoặc giảm thiểu thích hợp để bảo vệ mạng nhiều nhất có thể.