web-dev-qa-db-ja.com

ハッカーが開いているポートをスキャンするのはなぜですか?

したがって、ウェブサイトをハッキングする小さなハッカーを耳にするたびに、「ポートスキャン」を耳にします。私はそれが何であるか(リモートマシン上のすべての開いているポート/サービスを探している)を理解していますが、それは問題を引き起こします:

なぜ攻撃者は開いているポートを知りたいのですか?

これについて私が見る唯一の理由は、mayまたはmaynotが持つサービスを探していることですデフォルトのユーザー名とパスワードOR脆弱性か何か。

しかし、これの確率が非常に低いと見て、なぜハッカーがポートスキャンを実行するのでしょうか?それは純粋に上記の理由のためですか?

attacksattack-preventionnmapportsattack-vector
20
Joseph A.
  • エクスプロイトを実行するには、攻撃者は脆弱性を必要とします。
  • 脆弱性を見つけるには、攻撃者はマシンで実行されるすべてのサービスをフィンガープリントする必要があります(使用するプロトコル、それらを実装するプログラム、できればそれらのプログラムのバージョンを見つけます)。
  • 攻撃者は、サービスをフィンガープリントするために、公的にアクセス可能なポートで実行されているサービスがあることを知る必要があります。
  • サービスを実行している公的にアクセス可能なポートを見つけるには、攻撃者はポートスキャンを実行する必要があります。

ご覧のとおり、ポートスキャンは、システムを攻撃する前に攻撃者が実行する最初の偵察手順です。

52
Philipp

私があなたの家を奪おうとしていると考えてください...それから私は入る方法を探します。しかし、あなたの家にはドアロックがあり、ローカル(家族)だけがアクセスできるので、他のようなway(ports)ウィンドウ(他の開いているパブリックポート)を検索して、データを取得します。 ssh/ftpのポートが開かれる場合、ポートを悪用しようとします。ファイルまたはブルートフォースをアップロードしてみてください。

6
Girish

ギリッシュが指摘するように、ポートスキャンは家を包むようなものです。 1日に数十のポートスキャンが表示されるため、インターネットから行う場合は非常にノイズの少ないアクティビティです。また、マシンの状態に関する少量の情報を収集し、攻撃の次のレイヤーをさらに調整します。

それはまたdirt cheap!ポートスキャンを実行しても、攻撃者にほとんどコストはかかりません。 The Art of Intrusionで、Kevin Mitnickは、このような攻撃が実際にどこで成功するかを示しています。シンプルなシステムでは、すべてのポートを簡単にロックダウンできます。より複雑なITネットワークでは、ポートを開くことのビジネスロジックの理由がないことを証明するのは難しく、ITの最初のルールは「ビジネスを混乱させない」ことです。ミトニックの本は、陪審員の不正なシリアル接続が誤ってインターネットに公開された1つの例を示しています。攻撃者は、その使用が不要になった後に解体されなかった問題を解決するのは一度きりだったと推定しています。数年後、それは実際にはハッカーが見つけて悪用した攻撃ベクトルでした。

ポートスキャンが回避される状況があります。 Advanced Persistent Threats(APT)はLANで動作する傾向があります。インターネットからのポートスキャンは日常的に行われていますが、LANからのポートスキャンはかなり「大音量」です。 APTはステルスを重視しているため、他の状況ではポートスキャンを回避することがよくあります。

3
Cort Ammon

岩とのネットワーク通信を試みたことがありますか?電気がないネットワークルーターはどうですか?応答がないので、それはかなり退屈です。

したがって、攻撃者は、TCPやUDPなどの最も一般的なネットワークプロトコルを使用しようとします。これらは、「ポート番号」または「ポート」と呼ばれる番号を使用します。( SCTPはポートも使用します 。)

ポートが閉じている場合、通常は「接続が拒否されました」を示す応答、またはまったく応答がないという2つの結果のいずれかになります。まあ、どちらの結果も「オープン」ポートよりはるかに興味深いものではありません。つまり、標的のデバイスとやり取りしようとしたときに攻撃者が他のタイプの応答を取得できるということです。

ポートスキャンとは、ポート番号の可能な範囲全体(0〜65535)をスキャンすること、または可能性のあるポート(80、443、25、22など)のリストから単にスキャンして、どのIPアドレスが応答するかを確認することを指します。ポート番号に応答するIPアドレスは、特に応答するポート番号が一般的に使用される標準の番号である場合(たとえば、TCPポート80はHTTPの最も一般的なポートです。

(人々は標準とは異なる目的でポートを使用することができますが、それはほとんどのソフトウェアが代替ポート番号を簡単に処理しないために、それを行うことは非常にまれです。たとえば、Webブラウザーの標準では、コロンとポート番号(非標準ポートが使用されている場合)を追加します。標準ポート番号を使用すると、その情報を入力する必要がなくなります。)

ポートをスキャンすることには、多くのネットワーク攻撃のように、より複雑な相互作用を実行しようとするよりも利点があります。必要な時間と帯域幅がはるかに少ないため、より複雑な攻撃よりもはるかに迅速にスキャンを実行できます。

2
TOOGAM

ハッキングには「発見フェーズ」があります。発見段階では、ターゲットについて可能な限り多くの情報を発見します。ポートスキャンは、発見の1つの側面にすぎません。ほとんどのソフトウェアはデフォルトのポートで実行されるため、どのポートが開いているかを知ることで、マシンが実行しているものに関する情報が得られます。ポート80と443が開いている場合は、何らかの形式のWebサーバーを扱っている可能性があります。次に、実行中のWebサーバーとWebサーバーが実行しているソフトウェアを検出します。開いているポートとは、そのポートで何かがリッスンしていること、およびそのポートで実行されているすべてのものと通信できることを意味します。これは、ハッカーの潜在的なエントリです。デフォルトのユーザー名とパスワードの組み合わせを試すことは、ハッキングの一部にすぎません。 tragetで実行されているソフトウェアで脆弱性を使用することも別の部分であり、ポートスキャンを実行しているソフトウェアを検出することは、最初のステップとして適切です。どのポートが開いているかがわからない場合は、悪意のあるパケットを送信できるポートがわかりません。

0
mroman