Сканер портів є програма, яка призначена для дослідження хоста або сервера для виявлення відкритих портів. Зловмисники можуть використовувати сканери портів, щоб використовувати вразливості, знаходячи мережеві служби, запущені на хості. Вони також можуть використовуватися аналітиками безпеки для підтвердження політик безпеки мережі.
Інструменти моніторингу журналів, такі як Logwatch і Swatch, безумовно, можуть допомогти, але реальність така, що системні журнали лише незначно ефективні для виявлення активності Nmap. Детектори сканування портів спеціального призначення є більш ефективним підходом до виявлення активності Nmap. Два типові приклади – це PortSentry і Scanlogd.
Атака сканування портів повинна бути виявлена, перш ніж її можна буде зупинити.
Перевірка портів або сканер портів можуть бути небезпечними, оскільки вони може сказати хакерам, чи вразливий бізнес до атаки. Сканування може повідомити зловмиснику про наявні слабкі місця в мережі або системі компанії, якими вони потім можуть скористатися для отримання несанкціонованого доступу.
Хоча фахівці з безпеки часто використовують сканування портів як частину оцінки вразливості з дозволу, несанкціоноване сканування може розглядатися як попередник атаки, що потенційно може призвести до судового позову відповідно до законів про зловживання комп’ютером або кібербезпеки.
За даними Інституту SANS, сканування портів є однією з найпопулярніших тактик, які використовують зловмисники під час пошуку вразливого сервера для зламу. Ці кіберзлочинці часто використовують сканування портів як попередній крок під час націлювання на мережі.
Нижче наведено три типи відповідей:
- Відкрито, прийнято: комп’ютер відповідає та запитує, чи може він щось для вас зробити.
- Закрито, не прослуховується: комп’ютер відповідає, що «Цей порт зараз використовується та зараз недоступний».
- Відфільтровано, видалено, заблоковано: комп’ютер навіть не намагається відповісти.