Cảng là gì?
Khi một thiết bị kết nối với một thiết bị khác qua mạng, nó chỉ định một số cổng TCP hoặc UDP từ 0 đến 65535. Tuy nhiên, một số cổng được sử dụng thường xuyên hơn. Các cổng TCP từ 0 đến 1023 là “các cổng nổi tiếng” cung cấp các dịch vụ hệ thống. Ví dụ, cổng 20 là truyền tệp FTP, cổng 22 là các kết nối đầu cuối Secure Shell (SSH), cổng 80 là lưu lượng web HTTP tiêu chuẩn và cổng 443 được mã hóa HTTPS. Vì vậy, khi bạn kết nối với một trang web bảo mật, trình duyệt web của bạn đang nói chuyện với máy chủ web đang nghe trên cổng 443 của máy chủ đó.
Dịch vụ không phải lúc nào cũng phải chạy trên các cổng cụ thể này. Ví dụ: bạn có thể chạy máy chủ web HTTPS trên cổng 32342 hoặc máy chủ Secure Shell trên cổng 65001, nếu bạn thích. Đây chỉ là các giá trị mặc định chuẩn.
Quét cổng là gì?
Quét cổng là quá trình kiểm tra tất cả các cổng tại địa chỉ IP để xem chúng có đang mở hay đóng. Các phần mềm quét cổng sẽ kiểm tra cổng 0, cổng 1, cổng 2, và tất cả các cách thức thông qua cổng 65535. Nó thực hiện điều này bằng cách gửi một yêu cầu tới mỗi cổng và yêu cầu phản hồi. Ở dạng đơn giản nhất, phần mềm quét cổng hỏi về mỗi cổng, mỗi lần một cổng. Hệ thống từ xa sẽ phản hồi và nói liệu một cổng có được mở hay đóng. Người chạy quét cổng sẽ biết cổng nào đang mở.
Bất kỳ tường lửa mạng nào có thể chặn hoặc giảm lưu lượng truy cập, do đó, quét cổng cũng là phương pháp tìm kiếm cổng nào có thể truy cập được hoặc được tiếp xúc với mạng trên hệ thống từ xa đó.
Công cụ nmap là một tiện ích mạng phổ biến được sử dụng để quét cổng, nhưng có nhiều công cụ quét cổng khác.
Tại sao mọi người chạy quét cổng?
Các kiểu quét này cũng có thể giúp phát hiện các dịch vụ đang chạy trên các cổng không mặc định. Vì vậy, nếu bạn đang chạy máy chủ SSH trên cổng 65001 thay vì cổng 22, quá trình quét cổng sẽ tiết lộ điều này và kẻ tấn công có thể thử kết nối với máy chủ SSH của bạn trên cổng đó. Bạn không thể chỉ ẩn máy chủ trên cổng không mặc định để bảo mật hệ thống của mình, mặc dù nó làm cho máy chủ khó tìm hơn.
Quét cổng không chỉ được sử dụng bởi những kẻ tấn công. Quét cổng là hữu ích để kiểm tra thâm nhập phòng thủ. Một tổ chức có thể quét các hệ thống của riêng mình để xác định dịch vụ nào được tiếp xúc với mạng và đảm bảo chúng được định cấu hình an toàn.
Quét cổng nguy hiểm như thế nào?
Một cổng quét có thể giúp kẻ tấn công tìm thấy một điểm yếu để tấn công và đột nhập vào một hệ thống máy tính. Tuy nhiên, đây chỉ là bước đầu tiên. Chỉ vì bạn đã tìm thấy một cổng mở không có nghĩa là bạn có thể tấn công nó. Tuy nhiên, một khi bạn đã tìm thấy một cổng mở đang chạy một dịch vụ nghe, bạn có thể quét nó để tìm các lỗ hổng bảo mật. Đó là mối nguy hiểm thực sự.
Trên mạng gia đình của bạn, bạn gần như chắc chắn có một bộ định tuyến ngồi giữa bạn và Internet. Ai đó trên Internet sẽ chỉ có thể quét cổng bộ định tuyến của bạn và họ sẽ không tìm thấy bất kỳ thứ gì ngoài các dịch vụ tiềm năng trên chính bộ định tuyến. Bộ định tuyến đó hoạt động như tường lửa - trừ khi bạn đã chuyển tiếp các cổng riêng lẻ từ bộ định tuyến đến thiết bị, trong trường hợp đó, các cổng cụ thể đó được hiển thị trên Internet.
Đối với máy chủ và mạng công ty, tường lửa có thể được định cấu hình để phát hiện quét cổng và chặn lưu lượng truy cập từ địa chỉ đang quét. Nếu tất cả các dịch vụ tiếp xúc với internet được cấu hình an toàn và không có lỗ hổng bảo mật đã biết, việc quét cổng không nên quá đáng sợ.
Các loại quét cổng
Nếu cổng bị đóng, hệ thống từ xa sẽ trả lời bằng một thông báo RST (reset). Nếu hệ thống từ xa không có mặt trên mạng, sẽ không có phản hồi.
Một số máy quét thực hiện quét “TCP nửa mở”. Thay vì trải qua một SYN đầy đủ, SYN-ACK, và sau đó chu kỳ ACK, họ chỉ cần gửi một SYN và chờ một tin nhắn SYN-ACK hoặc RST phản hồi. Không cần phải gửi ACK cuối cùng để hoàn thành kết nối, vì SYN-ACK sẽ cho trình quét biết mọi thứ cần biết. Nó nhanh hơn vì ít gói hơn cần được gửi đi.
Các loại quét khác liên quan đến việc gửi người lạ, các loại gói không đúng định dạng và chờ xem liệu hệ thống từ xa có trả về một gói RST đóng kết nối hay không.Nếu có, máy quét biết rằng có một hệ thống từ xa tại vị trí đó và một cổng cụ thể được đóng trên đó. Nếu không nhận được gói nào, máy quét sẽ biết rằng cổng phải được mở.
Một quét cổng đơn giản, nơi phần mềm yêu cầu thông tin về từng cổng, từng cái một, rất dễ phát hiện. Tường lửa mạng có thể dễ dàng được cấu hình để phát hiện và ngăn chặn hành vi này.
Đó là lý do tại sao một số kỹ thuật quét cổng hoạt động khác nhau. Ví dụ, một cổng quét có thể quét một phạm vi nhỏ hơn của cảng, hoặc có thể quét toàn bộ các cổng trong một khoảng thời gian dài hơn rất nhiều vì vậy nó sẽ khó phát hiện hơn.
Port quét là một công cụ bảo mật cơ bản, bánh mì và bơ khi nói đến thâm nhập (và bảo mật) hệ thống máy tính. Nhưng chúng chỉ là một công cụ cho phép kẻ tấn công tìm thấy các cổng có thể dễ bị tấn công. Chúng không cung cấp cho kẻ tấn công quyền truy cập vào hệ thống và hệ thống được định cấu hình an toàn chắc chắn có thể chịu được quét toàn bộ cổng mà không gây hại.
