Startpagina » hoe » HTG legt uit Wat is poortscannen?

    HTG legt uit Wat is poortscannen?

    Een poortscan lijkt een beetje op een paar deurknoppen te schudden om te zien welke deuren zijn vergrendeld. De scanner leert welke poorten op een router of firewall open staan ​​en kan deze informatie gebruiken om de mogelijke zwakheden van een computersysteem te vinden.

    Wat is een poort?

    Wanneer een apparaat via een netwerk verbinding maakt met een ander apparaat, geeft dit een TCP- of UDP-poortnummer op van 0 tot 65535. Sommige poorten worden echter vaker gebruikt. TCP-poorten 0 tot 1023 zijn "bekende poorten" die systeemservices bieden. Poort 20 is bijvoorbeeld FTP-bestandsoverdrachten, poort 22 is Secure Shell (SSH) terminalverbindingen, poort 80 is standaard HTTP-webverkeer en poort 443 is gecodeerd HTTPS. Dus wanneer u verbinding maakt met een beveiligde website, praat uw webbrowser met de webserver die luistert op poort 443 van die server.

    Services hoeven niet altijd op deze specifieke poorten te worden uitgevoerd. U kunt bijvoorbeeld een HTTPS-webserver uitvoeren op poort 32342 of een Secure Shell-server op poort 65001, als u dat wilt. Dit zijn slechts de standaard standaardwaarden.

    Wat is een poortscan??

    Een poortscan is een proces waarbij alle poorten op een IP-adres worden gecontroleerd om te zien of ze open of gesloten zijn. De poortscansoftware controleert poort 0, poort 1, poort 2 en helemaal tot poort 65535. Dit doet het door simpelweg een verzoek naar elke poort te sturen en om een ​​antwoord te vragen. In de eenvoudigste vorm vraagt ​​de poortscansoftware elke poort één voor één. Het systeem op afstand reageert en meldt of een poort open of gesloten is. De persoon die de poortscan uitvoert, weet dan welke poorten open zijn.

    Alle netwerkfirewalls in de weg kunnen verkeer blokkeren of anderszins laten vallen, dus een poortscan is ook een methode om te bepalen welke poorten bereikbaar zijn of worden blootgesteld aan het netwerk op dat externe systeem.

    De nmap-tool is een algemeen netwerkhulpprogramma dat wordt gebruikt voor poortscannen, maar er zijn veel andere hulpprogramma's voor het scannen van poorten.

    Waarom voeren mensen poortscans uit??

    Portscans zijn handig voor het bepalen van de kwetsbaarheden van een systeem. Een poortscan zou een aanvaller vertellen welke poorten open zijn op het systeem, en dat zou hen helpen een aanvalsplan te formuleren. Als een Secure Shell (SSH) -server bijvoorbeeld werd gedetecteerd als luisteren op poort 22, zou de aanvaller kunnen proberen verbinding te maken en zwakke wachtwoorden te controleren. Als een ander type server op een andere poort luistert, kan de aanvaller ernaar porren en kijken of er een bug is die kan worden misbruikt. Misschien loopt er een oude versie van de software en is er een bekend beveiligingslek.

    Dit soort scans kan ook helpen bij het detecteren van services die worden uitgevoerd op niet-standaardpoorten. Dus als u een SSH-server gebruikt op poort 65001 in plaats van poort 22, zou de poortscan dit onthullen en zou de aanvaller proberen verbinding te maken met uw SSH-server op die poort. Je kunt niet zomaar een server op een niet-standaardpoort verbergen om je systeem te beveiligen, hoewel het de server moeilijker te vinden maakt.

    Portscans worden niet alleen gebruikt door aanvallers. Portscans zijn handig voor defensief penetrerende testen. Een organisatie kan haar eigen systemen scannen om te bepalen welke services worden blootgesteld aan het netwerk en of ze veilig zijn geconfigureerd.

    Hoe gevaarlijk zijn poortscans?

    Een poortscan kan een aanvaller helpen een zwak punt te vinden om aan te vallen en in te breken in een computersysteem. Het is echter slechts de eerste stap. Alleen omdat je een open poort hebt gevonden, wil dat nog niet zeggen dat je het kunt aanvallen. Maar zodra u een open poort hebt gevonden waarop een luisterdienst wordt uitgevoerd, kunt u deze scannen op kwetsbaarheden. Dat is het echte gevaar.

    Op je thuisnetwerk heb je vrijwel zeker een router tussen jou en internet. Iemand op internet zou alleen je router kunnen portscannen en ze zouden niets anders vinden dan potentiële services op de router zelf. Die router fungeert als een firewall - tenzij je individuele poorten van je router hebt doorgestuurd naar een apparaat, in welk geval die specifieke poorten zijn blootgesteld aan internet.

    Voor computerservers en bedrijfsnetwerken kunnen firewalls worden geconfigureerd om poortscans te detecteren en verkeer van het adres dat wordt gescand te blokkeren. Als alle services die zijn blootgesteld aan internet veilig zijn geconfigureerd en geen bekende veiligheidslekken hebben, moeten poortscans niet eens te eng zijn.

    Typen poortscans

    In een poortscan van "TCP-volledige verbinding" verzendt de scanner een SYN-bericht (verbindingsverzoek) naar een poort. Als de poort open is, antwoordt het systeem op afstand met een SYN-ACK (bevestiging) bericht. De scanner antwoordt dan met zijn eigen ACK (bevestiging) bericht. Dit is een volledige handshake voor TCP-verbindingen en de scanner weet dat het systeem verbindingen op een poort accepteert als dit proces plaatsvindt.

    Als de poort gesloten is, reageert het systeem op afstand met een RST-bericht (reset). Als het externe systeem gewoon niet aanwezig is op het netwerk, zal er geen reactie zijn.

    Sommige scanners voeren een "TCP half-open" scan uit. In plaats van een volledige SYN, SYN-ACK en vervolgens ACK-cyclus door te nemen, sturen ze gewoon een SYN en wachten ze op een SYN-ACK- of RST-bericht als reactie. Het is niet nodig om een ​​laatste ACK te sturen om de verbinding te voltooien, omdat de SYN-ACK de scanner alles zou vertellen wat hij moet weten. Het is sneller omdat er minder pakketten moeten worden verzonden.

    Andere soorten scans omvatten het verzenden van vreemde, misvormde soorten pakketten en wachten om te zien of het externe systeem een ​​RST-pakket retourneert dat de verbinding sluit. Als dat zo is, weet de scanner dat er een extern systeem op die locatie is en dat er een bepaalde poort op is gesloten. Als er geen pakket wordt ontvangen, weet de scanner dat de poort open moet zijn.

    Een eenvoudige, poortscan waarbij de software informatie over elke poort één voor één opvraagt, is gemakkelijk te herkennen. Netwerkfirewalls kunnen eenvoudig worden geconfigureerd om dit gedrag te detecteren en te stoppen.

    Dat is de reden waarom sommige technieken voor poortscannen anders werken. Een poortscan kan bijvoorbeeld een kleiner bereik van poorten scannen of kan het volledige bereik van poorten over een veel langere periode scannen, waardoor het moeilijker is om te detecteren.


    Poortscans zijn een standaard beveiligingsmiddel voor brood en boter als het gaat om het penetreren (en beveiligen) van computersystemen. Maar ze zijn slechts een hulpmiddel waarmee aanvallers poorten kunnen vinden die kwetsbaar zijn voor aanvallen. Ze geven een aanvaller geen toegang tot een systeem en een veilig geconfigureerd systeem is zeker bestand tegen een volledige poortscan zonder schade.

    Beeldcredits: xfilephotos / Shutterstock.com, Casezy-idee / Shutterstock.com.