پويش يک پورت فرآيندی است که مهاجمان با استفاده از آن قادر به تشخيص وضعيت يک پورت بر روی يک سيستم و يا شبکه می باشند . مهاحمان با استفاده از ابزارهای متفاوت ، اقدام به ارسال داده به پورت های TCP و UDP نموده و با توجه به پاسخ دريافتی قادر به تشخيص اين موضوع خواهند بود که کدام پورت ها در حال استفاده بوده و از کدام پورت ها استفاده نمی گردد و اصطلاحا" آنان باز می باشند . مهاجمان در ادامه و بر اساس اطلاعات دريافتی ، بر روی پورت های باز متمرکز شده و حملات خود را بر اساس آنان سازماندهی می نمايند . عملکرد مهاجمان در اين رابطه مشابه سارقانی است که به منظور نيل به اهداف مخرب خود ( سرقت ) ، درابتدا وضعيت درب ها و پنجره های منازل را بررسی نموده تا پس از آگاهی از وضعيت آنان ( باز بودن و يا قفل بودن ) ، سرقت خود را برنامه ريزی نمايند.
Transmission Control Protocol) TCP ) و ( UDP ( User Datagram Protocol ، دو پروتکل مهم TCP/IP می باشند . هر يک از پروتکل های فوق می توانند دارای شماره پورتی بين صفر تا 65،535 باشند . بنابراين ما دارای بيش از 65،000 درب می باشيم که می بايست در رابطه با باز بودن و يا بستن هر يک از آنان تعيين تکليف نمود ( شبکه ای با بيش از 65،000 درب! ) . از 1024 پورت اول TCP به منظور ارائه سرويس های استانداردی نظير FTP,HTTP,SMTP و DNS استفاده می گردد . ( پورت های خوش نام ) . به برخی از پورت های بالای 1023 نيز سرويس های شناخته شده ای نسبت داده شده است ، ولی اغلب اين پورت ها به منظور استفاده توسط يک برنامه در دسترس می باشند .
نحوه عملکرد برنامه های پويش پورت ها
برنامه های پويش پورت ها در ابتدا اقدام به ارسال يک درخواست برای کامپيوتر هدف و بر روی هر يک از پورت ها نموده و در ادامه با توجه به نتايج بدست آمده ، قادر به تشخيص وضعيت يک پورت می باشند (باز بودن و يا بسته بودن يک پورت ) . در صورتی که اينگونه برنامه ها با اهداف مخرب به خدمت گرفته شوند ، مهاجمان قادر به تشخيص وضعيت پورت ها بر روی يک سيستم و يا شبکه کامپيوتری می شوند. آنان می توانند تهاجم خود را بگونه ای برنامه ريزی نمايند که ناشناخته باقی مانده و امکان تشخيص آنان وجود نداشته باشد . برنامه های امنيتی نصب شده بر روی يک شبکه کامپيوتری می بايست بگونه ای پيکربندی شوند که در صورت تشخيص ايجاد يک ارتباط و پويش مستمر و بدون وقفه مجموعه ای از پورت ها در يک محدوده زمانی خاص توسط يک کامپيوتر ، هشدارهای لازم را در اختيار مديريت سيستم قرار دهند . مهاجمان به منظور پويش پورت ها از دو روش عمده "آشکار" و يا " مخفی" ، استفاده می نمايند . در روش پويش آشکار ، مهاجمان در رابطه با تعداد پورت هائی که قصد بررسی آنان را دارند ، دارای محدوديت خواهند بود ( امکان پويش تمامی 65،535 پورت وجود ندارد ) . در پويش مخفی ، مهاجمان از روش هائی نظير " پويش کند " استفاده نموده تا احتمال شناسائی آنان کاهش يابد . با پويش پورت ها در يک محدوده زمانی بيشتر ، احتمال تشخيص آنان توسط برنامه های امنيتی نصب شده در يک شبکه کامپيوتری کاهش پيدا می نمايد .
برنامه های پويش پورت ها با تنظيم فلاگ های متفاوت TCP و يا ارسال انواع متفاوتی از بسته های اطلاعاتی TCP قادر به ايجاد نتايج متفاوت و تشخيص پورت های باز بر اساس روش های مختلفی می باشند . مثلا" يک پويش مبتنی بر SYN با توجه به نتايج بدست آمده اعلام می نمايد که کدام پورت باز و يا کدام پورت بسته است و يا در يک پويش مبتنی بر FIN بر اساس پاسخی که از پورت های بسته دريافت می نمايد ( پورت های باز پاسخی را ارسال نخواهند کرد) وضعيت يک پورت را تشخيص خواهد داد .
نحوه پيشگيری و حفاظت
مديران شبکه می توانند با استفاده از امکانات متنوعی که در اين رابطه وجود دارد از پويش پورت ها بر روی شبکه توسط مهاجمان آگاه گردند . مثلا" می توان تمامی پويش های مبتنی بر SYN را ثبت تا در ادامه امکان بررسی دقيق آنان وجود داشته باشد . ( تشخيص ارسال يک بسته اطلاعاتی SYN به پورت های باز و يا بسته ) .
به منظور افزايش ايمن سازی کامپيوتر و يا شبکه مورد نظر می توان خود راسا" اقدام به پويش پورت ها نمود . با استفاده از نرم افزارهائی نظير NMap می توان محدوده ای از آدرس های IP و پورت های مورد نظر را بررسی نمود ( شبيه سازی يک تهاجم ) . پس از مشخص شدن وضعيت هر يک از پورت ها می بايست اقدامات لازم حفاظتی در اين خصوص را انجام داد . در صورتی که به وجود ( باز بودن ) يک پورت نياز نمی باشد ، می بايست آنان را غير فعال نمود. در صورت ضرورت استفاده از يک پورت ، می بايست بررسی لازم در خصوص تهديداتی که ممکن است از جانب آن پورت متوجه سيستم و يا شبکه گردد را انجام و با نصب patch های مرتبط با آنان امکان سوء استفاده از پورت های باز را کاهش داد .
نرم افزارهای پويش پورت ها
به منظور پويش پورت ها و آگاهی از وضعيت پورت های TCP و UDP می توان از برنامه های متعددی استفاده نمود :
-
FireWalls.com Port Scan ( بررسی online وضعيت پورت ها )