پورت اسکن (Port Scan) چیست؟

اسکن پورت یک تکنیک رایج است که هکرها از آن برای کشف درهای باز یا نقاط ضعف در یک شبکه استفاده میکنند. حمله اسکن پورت به مجرمان سایبری کمک میکند تا پورتهای باز را پیدا کنند و تشخیص دهند که آیا این پورتها در حال دریافت یا ارسال داده هستند یا خیر. همچنین این روش میتواند نشان دهد که آیا سازمان از دستگاههای امنیتی فعال مانند فایروالها استفاده میکند یا نه.
وقتی هکرها پیامی به یک پورت ارسال میکنند، پاسخ دریافتیشان مشخص میکند که آیا پورت در حال استفاده است و آیا نقاط ضعفی وجود دارد که بتوان از آنها سوءاستفاده کرد.
شرکتها نیز میتوانند از تکنیک اسکن پورت برای ارسال بستههای داده به پورتهای خاص و تحلیل پاسخها برای یافتن آسیبپذیریهای احتمالی استفاده کنند. آنها میتوانند از ابزارهایی مانند اسکن IP، نقشهبردار شبکه (Nmap) و Netcat برای اطمینان از امنیت شبکه و سیستمهای خود استفاده کنند.
اسکن پورت میتواند اطلاعاتی مانند موارد زیر را ارائه دهد:
– سرویسهایی که در حال اجرا هستند.
– کاربرانی که مالک سرویسها هستند.
– آیا ورود ناشناس مجاز است یا خیر.
– کدام سرویسهای شبکه نیاز به احراز هویت دارند.
پورت چیست؟
پورت نقطهای روی یک کامپیوتر است که در آن تبادل اطلاعات بین چندین برنامه و اینترنت به دستگاهها یا کامپیوترهای دیگر انجام میشود. برای اطمینان از یکنواختی و سادهسازی فرآیندهای برنامهنویسی، به پورتها شمارههای پورت اختصاص داده میشود. این شمارهها همراه با یک آدرس IP، اطلاعات حیاتی را تشکیل میدهند که هر ارائهدهنده خدمات اینترنتی (ISP) از آنها برای پاسخ به درخواستها استفاده میکند.
شمارههای پورت از ۰ تا ۶۵,۵۳۵ متغیر هستند و بر اساس محبوبیت رتبهبندی میشوند. پورتهای شمارهدار ۰ تا ۱,۰۲۳ به عنوان پورتهای “معروف” شناخته میشوند که معمولاً برای استفاده اینترنتی رزرو شدهاند اما میتوانند اهداف تخصصی نیز داشته باشند. این پورتها توسط سازمان اختصاص شمارههای اینترنتی (IANA) اختصاص داده میشوند و در اختیار شرکتهای پیشرو و سرویسهای SQL قرار دارند.
پورتها عموماً توسط پروتکل کنترل انتقال (TCP) که نحوه برقراری و حفظ مکالمه شبکه بین برنامهها را تعریف میکند، و پروتکل دیتاگرام کاربر (UDP) که عمدتاً برای برقراری اتصالات کمتأخیر و تحملپذیر بین برنامهها استفاده میشود، مدیریت میشوند. برخی از محبوبترین و پراستفادهترین پورتها عبارتند از:
– پورت ۲۰ (UDP): پروتکل انتقال فایل (FTP) برای انتقال دادهها استفاده میشود.
– پورت ۲۲ (TCP): پروتکل Secure Shell (SSH) برای FTP، انتقال پورت و ورودهای امن استفاده میشود.
– پورت ۲۳ (TCP): پروتکل Telnet برای ارتباطات ناامن استفاده میشود.
– پورت ۵۳ (UDP): سیستم نام دامنه (DNS) که نامهای دامنه اینترنتی را به آدرسهای IP قابل خواندن توسط ماشین ترجمه میکند.
– پورت ۸۰ (TCP): پروتکل انتقال ابرمتن وب جهانی (HTTP).
پورتهای شمارهدار از ۱,۰۲۴ تا ۴۹,۱۵۱ به عنوان پورتهای “ثبتشده” در نظر گرفته میشوند و توسط شرکتهای نرمافزاری ثبت میشوند. پورتهای شمارهدار از ۴۹,۱۵۲ تا ۶۵,۵۳۵ به عنوان پورتهای “پویا” و “خصوصی” در نظر گرفته میشوند که تقریباً توسط همه در اینترنت قابل استفاده هستند.
تکنیکهای اسکن پورت چیست؟
اسکن پورت شامل ارسال بستههای داده به شمارههای پورت مقصد با استفاده از تکنیکهای مختلف است. برخی از این تکنیکها عبارتند از:
– Ping scans: سادهترین تکنیک اسکن پورت است. این روش همچنین به عنوان درخواست پروتکل کنترل پیام اینترنتی (ICMP) شناخته میشود. اسکنهای پینگ گروهی از درخواستهای ICMP را به سرورهای مختلف ارسال میکنند تا پاسخ دریافت کنند. یک مدیر میتواند از اسکن پینگ برای عیبیابی مشکلات استفاده کند، و پینگها میتوانند توسط فایروال مسدود و غیرفعال شوند.
– Vanilla scan: یک تکنیک اسکن پورت پایه دیگر که سعی میکند به همه ۶۵,۵۳۶ پورت به طور همزمان متصل شود. این روش یک پرچم SYN (درخواست اتصال) ارسال میکند. وقتی پاسخ SYN-ACK دریافت میکند، با پرچم ACK پاسخ میدهد. این اسکن دقیق است اما به راحتی قابل تشخیص است زیرا یک اتصال کامل همیشه توسط فایروالها ثبت میشود.
– SYN scan: همچنین به عنوان اسکن نیمهباز شناخته میشود، این روش یک پرچم SYN به هدف ارسال میکند و منتظر پاسخ SYN-ACK میماند. در صورت دریافت پاسخ، اسکنر پاسخ نمیدهد، به این معنی که اتصال TCP کامل نشده است. بنابراین، تعامل ثبت نمیشود، اما فرستنده متوجه میشود که پورت باز است. این یک تکنیک سریع است که هکرها از آن برای یافتن نقاط ضعف استفاده میکنند.
– XMAS and FIN scans: اسکنهای XMAS و FIN روشهای حمله گسستهتری هستند. اسکنهای XMAS نام خود را از مجموعه پرچمهایی گرفتهاند که در یک بسته فعال میشوند و وقتی در یک تحلیلگر پروتکل مانند Wireshark مشاهده میشوند، مانند یک درخت کریسمس چشمکزن به نظر میرسند. این نوع اسکن مجموعهای از پرچمها را ارسال میکند که در صورت پاسخ، میتواند اطلاعاتی درباره فایروال و وضعیت پورتها فاش کند. اسکن FIN شامل ارسال یک پرچم FIN توسط مهاجم به یک پورت خاص است که اغلب برای پایان دادن به یک جلسه established استفاده میشود. پاسخ سیستم به آن میتواند به مهاجم کمک کند تا سطح فعالیت را درک کند و بینشی درباره استفاده سازمان از فایروال ارائه دهد.
– FTP bounce scan: این تکنیک به فرستنده اجازه میدهد تا مکان خود را با استفاده از یک سرور FTP برای ارسال یک بسته پنهان کند.
– Sweep scan: این تکنیک مقدماتی اسکن پورت ترافیک را به یک پورت در چندین کامپیوتر در یک شبکه ارسال میکند تا سیستمهای فعال را شناسایی کند. این روش اطلاعاتی درباره فعالیت پورت ارائه نمیدهد، اما به فرستنده اطلاع میدهد که آیا سیستمهایی در حال استفاده هستند یا خیر.