Indholdsfortegnelse:
- Ping fejning
- Brug af portscanningværktøjer
- Når du har en generel ide om, hvilke værter der er tilgængelige, og hvilke porte der er åbne, kan du udføre mere avancerede scanninger for at kontrollere, at portene rent faktisk er åbne og ikke returnerer en falsk positiv. Nmap giver dig mulighed for at køre følgende yderligere scanninger:
- NetScanTools Pro er et meget flot all-in-one kommercielt værktøj til at indsamle generelle netværksoplysninger, såsom antallet af unikke IP-adresser, NetBIOS-navne og MAC-adresser. Det har også en pæn funktion, der giver dig mulighed for at fingera udskrive operativsystemerne fra forskellige værter.
- Aktiver kun den trafik, du har brug for for at få adgang til interne værter - helst så vidt muligt fra de værter, du forsøger at beskytte - og nægte alt andet. Dette gælder for standardporte, som f.eks. TCP 80 til HTTP og ICMP til ping-anmodninger.
Video: Slik forhindrer OL verdenskrig – Enkelt Forklart 2025
En portscanner forhindrer hacks ved at vise dig hvad der er på dit netværk ved at scanne netværket for at se, hvad der lever og arbejder. Portscannere giver grundlæggende visninger af, hvordan netværket er lagt ud. De kan hjælpe med at identificere uautoriserede værter eller applikationer og konfigurationsfejl i netværts vært, der kan forårsage alvorlige sikkerhedsproblemer.
Tricket til at vurdere din samlede netværkssikkerhed fortolker de resultater, du får fra en portscanning. Du kan få falske positive på åbne porte, og du må måske grave dybere. Eksempelvis er scanning af User Datagram Protocol (UDP) mindre pålidelige end scanningskontrolprotokoll (TCP) -scanning og giver ofte falske positiver, fordi mange applikationer ikke ved, hvordan man kan reagere på tilfældige indkommende UDP-anmodninger.
En feature-rich scanner som QualysGuard kan ofte identificere porte og se, hvad der kører i et trin.
Et vigtigt princip at huske er, at du skal scanne mere end bare de vigtige værter. Udfør også de samme tests med forskellige hjælpeprogrammer for at se, om du får forskellige resultater. Hvis dine resultater ikke stemmer overens, når du har udført testene ved hjælp af forskellige værktøjer, kan du måske undersøge problemet yderligere.
Hvis det er muligt, skal du scanne alle 65, 534 TCP-porte på hver netværksvært, som din scanner finder. Hvis du finder tvivlsomme porte, skal du kigge efter dokumentation om, at ansøgningen er kendt og autoriseret. Det er ikke en dårlig idé at scanne alle 65, 534 UDP porte også.
Ping fejning
En pingfejning af alle dine netværksundernet og værter er en god måde at finde ud af, hvilke værter, der lever og sparker på netværket. En pingfejning er, når du pinger en række adresser ved hjælp af ICMP-pakker (Internet Control Message Protocol).
Der findes dusinvis af Nmap-kommandolinjevalg, som kan være overvældende, når du kun vil have en grundscanning. Ikke desto mindre kan du indtaste nmap på kommandolinjen for at se alle tilgængelige muligheder.
Følgende kommandolinjeindstillinger kan bruges til en Nmap-pingfejning:
-
-sP fortæller Nmap at udføre en ping-scanning.
-
-n fortæller Nmap ikke at udføre navneopløsning.
-
-T 4 fortæller Nmap at udføre en aggressiv (hurtigere) scanning.
-
192. 168. 1. 1-254 fortæller Nmap at scanne hele 192. 168. 1. x subnet.
Brug af portscanningværktøjer
De fleste portscannere fungerer i tre trin:
-
Portscanneren sender TCP SYN-anmodninger til værten eller rækkeværdien af værter, du indstiller til scanning.
Nogle portscannere udfører ping fejninger for at bestemme hvilke værter der er tilgængelige, før du starter TCP port scans.
-
Portscanneren venter på svar fra de tilgængelige værter.
-
Portscanneren probes disse tilgængelige værter for op til 65, 534 mulige TCP- og UDP-porte - baseret på hvilke porte du fortæller det at scanne - for at se, hvilke der har tilgængelige tjenester på dem.
Portscanningerne indeholder følgende oplysninger om de levende værter på dit netværk:
-
Værter, der er aktive og tilgængelige via netværket
-
Netværksadresser til værterne fundet
-
Tjenester eller applikationer, som værterne > kan være kører Når du har udført et generisk feje af netværket, kan du grave dybere ind i bestemte værter, du finder.
Nmap
Når du har en generel ide om, hvilke værter der er tilgængelige, og hvilke porte der er åbne, kan du udføre mere avancerede scanninger for at kontrollere, at portene rent faktisk er åbne og ikke returnerer en falsk positiv. Nmap giver dig mulighed for at køre følgende yderligere scanninger:
Connect:
-
Denne grundlæggende TCP scan søger efter åbne TCP porte på værten. Du kan bruge denne scanning til at se, hvad der kører, og afgøre, om indbrudsforebyggelsessystemer (IPS'er), firewalls eller andre loggningsenheder logger forbindelserne. UDP scan:
-
Denne grundlæggende UDP-scan søger efter eventuelle åbne UDP-porte på værten. Du kan bruge denne scanning til at se, hvad der kører, og afgøre, om IPS'er, firewalls eller andre loggningsenheder logger forbindelserne. SYN Stealth:
-
Denne scanning skaber en halv åben TCP-forbindelse med værten, muligvis undgår IPS-systemer og logning. Dette er en god scanning for at teste IPS'er, firewalls og andre loggningsenheder. FIN Stealth, Xmas Tree og Null:
-
Disse scanninger gør det muligt at blande ting op ved at sende underligt formede pakker til dine netværksværter, så du kan se, hvordan de reagerer. Disse scanninger skifter rundt i flagene i TCP-overskrifterne i hver pakke, som giver dig mulighed for at teste hvordan hver vært håndterer dem for at påpege svage TCP / IP-implementeringer samt patches, der muligvis skal anvendes. Du kan oprette dit eget DoS-angreb og potentielt crash-applikationer eller hele systemer. Desværre, hvis du har en vært med en svag TCP / IP-stak, er der ingen god måde at forhindre, at scanningen opretter et DoS-angreb. For at reducere chancen for dette, sænk Nmap timing mulighederne, når du kører dine scanninger.
Hvis du er en kommandolinjevifte, ser du kommandolinjeparametrene vist i nederste venstre hjørne af NMapWin-skærmen. Dette hjælper, når du ved, hvad du vil gøre, og kommandolinjens hjælp er ikke nok.
NetScanTools Pro
NetScanTools Pro er et meget flot all-in-one kommercielt værktøj til at indsamle generelle netværksoplysninger, såsom antallet af unikke IP-adresser, NetBIOS-navne og MAC-adresser. Det har også en pæn funktion, der giver dig mulighed for at fingera udskrive operativsystemerne fra forskellige værter.
Modforanstaltninger mod pingfejning og portscanning
Aktiver kun den trafik, du har brug for for at få adgang til interne værter - helst så vidt muligt fra de værter, du forsøger at beskytte - og nægte alt andet. Dette gælder for standardporte, som f.eks. TCP 80 til HTTP og ICMP til ping-anmodninger.
Konfigurer firewalls for at kigge efter potentielt ondsindet adfærd over tid og have regler for at afbryde angreb, hvis der er nået en bestemt tærskel, f.eks. 10 portscanninger på et minut eller 100 på hinanden følgende ping (ICMP) anmodninger.
De fleste firewalls og IPS'er kan registrere sådan scanning og afbryde den i realtid.
