پويش پورت ها
سخاروش – پويش يک پورت فرآيندى است که مهاجمان با استفاده از آن قادر به تشخيص وضعيت يک پورت بر روى يک سيستم و يا شبکه مى باشند . مهاحمان ا استفاده از ابزارهاى متفاوت ، اقدام به ارسال داده به پورت هاى TCP و UDP نموده و با توجه به پاسخ دريافتى قادر به تشخيص اين موضوع خواهند بود که کدام پورت ها در حال استفاده بوده و از کدام پورت ها استفاده نمى گردد و اصطلاحا” آنان باز مى باشند .
مهاجمان در ادامه و بر اساس اطلاعات دريافتى ، بر روى پورت هاى باز متمرکز شده و حملات خود را بر اساس آنان سازماندهى مى نمايند . عملکرد مهاجمان در اين رابطه مشابه سارقانى است که به منظور نيل به اهداف مخرب خود ( سرقت ) ، درابتدا وضعيت درب ها و پنجره هاى منازل را بررسى نموده تا پس از آگاهى از وضعيت آنان ( باز بودن و يا قفل بودن ) ، سرقت خود را برنامه ريزى نمايند.
Transmission Control Protocol) TCP ) و ( UDP ( User Datagram Protocol ، دو پروتکل مهم TCP/IP مى باشند . هر يک از پروتکل هاى فوق مى توانند داراى شماره پورتى بين صفر تا 65،535 باشند . بنابراين ما داراى بيش از 65،000 درب مى باشيم که مى بايست در رابطه با باز بودن و يا بستن هر يک از آنان تعيين تکليف نمود ( شبکه اى با بيش از 65،000 درب! ) . از 1024 پورت اول TCP به منظور ارائه سرويس هاى استانداردى نظير FTP,HTTP,SMTP و DNS استفاده مى گردد . ( پورت هاى خوش نام ) . به برخى از پورت هاى بالاى 1023 نيز سرويس هاى شناخته شده اى نسبت داده شده است ، ولى اغلب اين پورت ها به منظور استفاده توسط يک برنامه در دسترس مى باشند .
نحوه عملکرد برنامه هاى پويش پورت ها
برنامه هاى پويش پورت ها در ابتدا اقدام به ارسال يک درخواست براى کامپيوتر هدف و بر روى هر يک از پورت ها نموده و در ادامه با توجه به نتايج بدست آمده ، قادر به تشخيص وضعيت يک پورت مى باشند (باز بودن و يا بسته بودن يک پورت ) . در صورتى که اينگونه برنامه ها با اهداف مخرب به خدمت گرفته شوند ، مهاجمان قادر به تشخيص وضعيت پورت ها بر روى يک سيستم و يا شبکه کامپيوترى مى شوند. آنان مى توانند تهاجم خود را بگونه اى برنامه ريزى نمايند که ناشناخته باقى مانده و امکان تشخيص آنان وجود نداشته باشد .
برنامه هاى امنيتى نصب شده بر روى يک شبکه کامپيوترى مى بايست بگونه اى پيکربندى شوند که در صورت تشخيص ايجاد يک ارتباط و پويش مستمر و بدون وقفه مجموعه اى از پورت ها در يک محدوده زمانى خاص توسط يک کامپيوتر ، هشدارهاى لازم را در اختيار مديريت سيستم قرار دهند . مهاجمان به منظور پويش پورت ها از دو روش عمده “آشکار” و يا ” مخفى” ، استفاده مى نمايند . در روش پويش آشکار ، مهاجمان در رابطه با تعداد پورت هائى که قصد بررسى آنان را دارند ، داراى محدوديت خواهند بود ( امکان پويش تمامى 65،535 پورت وجود ندارد ) . در پويش مخفى ، مهاجمان از روش هائى نظير ” پويش کند ” استفاده نموده تا احتمال شناسائى آنان کاهش يابد . با پويش پورت ها در يک محدوده زمانى بيشتر ، احتمال تشخيص آنان توسط برنامه هاى امنيتى نصب شده در يک شبکه کامپيوترى کاهش پيدا مى نمايد .
برنامه هاى پويش پورت ها با تنظيم فلاگ هاى متفاوت TCP و يا ارسال انواع متفاوتى از بسته هاى اطلاعاتى TCP قادر به ايجاد نتايج متفاوت و تشخيص پورت هاى باز بر اساس روش هاى مختلفى مى باشند . مثلا” يک پويش مبتنى بر SYN با توجه به نتايج بدست آمده اعلام مى نمايد که کدام پورت باز و يا کدام پورت بسته است و يا در يک پويش مبتنى بر FIN بر اساس پاسخى که از پورت هاى بسته دريافت مى نمايد ( پورت هاى باز پاسخى را ارسال نخواهند کرد) وضعيت يک پورت را تشخيص خواهد داد .
نحوه پيشگيرى و حفاظت
مديران شبکه مى توانند با استفاده از امکانات متنوعى که در اين رابطه وجود دارد از پويش پورت ها بر روى شبکه توسط مهاجمان آگاه گردند . مثلا” مى توان تمامى پويش هاى مبتنى بر SYN را ثبت تا در ادامه امکان بررسى دقيق آنان وجود داشته باشد . ( تشخيص ارسال يک بسته اطلاعاتى SYN به پورت هاى باز و يا بسته ) .
به منظور افزايش ايمن سازى کامپيوتر و يا شبکه مورد نظر مى توان خود راسا” اقدام به پويش پورت ها نمود . با استفاده از نرم افزارهائى نظير NMap مى توان محدوده اى از آدرس هاى IP و پورت هاى مورد نظر را بررسى نمود ( شبيه سازى يک تهاجم ) . پس از مشص شدن وضعيت هر يک از پورت ها مى بايست اقدامات لازم حفاظتى در اين خصوص را انجام داد . در صورتى که به وجود ( باز بودن ) يک پورت نياز نمى باشد ، مى بايست آنان را غير فعال نمود. در صورت ضرورت استفاده از يک پورت ، مى بايست بررسى لازم در خصوص تهديداتى که ممکن است از جانب آن پورت متوجه سيستم و يا شبکه گردد را انجام و با نصب patch هاى مرتبط با آنان امکان سوء استفاده از پورت هاى باز را کاهش داد .
نرم افزارهاى پويش پورت ها
به منظور پويش پورت ها و آگاهى از وضعيت پورت هاى TCP و UDP مى توان از برنامه هاى متعددى استفاده نمود :
FireWalls.com Port Scan ( بررسى online وضعيت پورت ها )