trang chủ-Chương trình-Mở cổng trực tuyến. Quét các cổng đang mở bằng IP

Mở cổng trực tuyến. Quét các cổng đang mở bằng IP

Máy quét cổng- một tiện ích được thiết kế để quét các cổng máy tính. Nó được sử dụng để bảo vệ máy tính của bạn và đảm bảo an toàn cho nội dung trong ổ cứng của bạn. Tiện ích này hiển thị qua cổng nào, loại virus độc hại nào có thể xâm nhập. Có hơn 4.000 Trojan trong cơ sở dữ liệu.

Có khoảng 65.500 cổng trên bất kỳ máy tính nào. Thông qua chúng, máy tính có thể trao đổi tin nhắn. Việc tiêu chuẩn hóa các luồng thông tin và sự tương tác của các đối tượng khác nhau được thực hiện thông qua các giao thức đặc biệt TCP/IP và UDP. Nếu người dùng muốn đảm bảo an toàn cho thông tin trên ổ cứng thì cần phải kiểm soát các cổng trên máy tính của mình.

Tải xuống Trình quét cổng miễn phí

Tải xuống Máy quét cổng (0,6 MB)

Trình quét cổng miễn phí dành cho Windows hiển thị dữ liệu trạng thái cổng đáng tin cậy. Nó đơn giản và dễ sử dụng, đồng thời có giao diện trực quan, dễ tiếp cận. Các cổng được quét rất nhanh. Thông thường, thủ tục này mất một vài phút. Điều đáng chú ý là việc tải trình quét cổng về máy tính của bạn không đảm bảo tính bảo mật hoàn toàn. Chương trình này chỉ thực hiện chức năng giám sát và tìm kiếm cổng. Để đóng các cổng đang mở được tìm thấy, bạn cần sử dụng các chương trình đặc biệt - tường lửa.

Quét cổng là gì? Những phương pháp quét nào tồn tại? Nó gây ra mối đe dọa gì?

Trong bài viết hôm nay, tôi sẽ cố gắng nói về việc quét các cổng mở là gì, tôi sẽ cho bạn biết về các phương pháp được sử dụng trong quá trình quét cổng và cách bảo vệ bạn khỏi tất cả những điều này.

Đang quét là một tập hợp các thủ tục cho phép bạn xác định các máy chủ, cổng và dịch vụ của hệ thống đích. Quét mạng cho phép kẻ tấn công thu thập hồ sơ của máy bị tấn công.

Theo Hội đồng EC về các biện pháp đối phó và tấn công đạo đức, các kiểu quét sau đây được phân biệt:

  • quét mạng - xác định các nút trên mạng;
  • quét cổng - xác định các cổng mở và các dịch vụ đang hoạt động;
  • Quét bảo mật hệ thống – xác định các lỗ hổng hệ thống đã biết.

Thoạt nhìn, việc quét không có hại gì, tuy nhiên, rất khó để đồng ý với cách tiếp cận này, vì việc quét diễn ra trước cuộc tấn công, cho phép kẻ tấn công tìm ra dịch vụ nào đang chạy trên hệ thống mục tiêu và do đó chuẩn bị và thực hiện một cuộc tấn công có mục tiêu chống lại các dịch vụ được xác định và các lỗ hổng của chúng. Vì vậy, cần phải chống lại sự thông minh của những kẻ tấn công.

Mục đích quét cổng

Đồng thời, cần lưu ý rằng bản thân việc quét không phải lúc nào cũng là một hành động độc hại; tất cả phụ thuộc vào mục tiêu của nó. Các dịch vụ bảo mật thông tin hoặc nhân viên CNTT có thể sử dụng tính năng quét để xác định các lỗ hổng cơ sở hạ tầng hoặc khả năng hiển thị của các dịch vụ từ mạng bên ngoài.

Về bản chất, mọi thứ thường bắt đầu bằng việc quét mạng; chính điều này cho phép người ta xác định các nút yếu, địa chỉ IP của chúng, cổng mở, xác định hệ điều hành, có nghĩa là về mặt lý thuyết, các lỗ hổng có thể xảy ra sẽ trở nên rõ ràng, đây không phải là một thành công nhỏ đối với người tổ chức một cuộc tấn công.

Phương pháp quét cổng

Chúng tôi xác định cấu trúc của mạng. Cách quét dễ nhất là quét ICMP. Nguyên tắc hoạt động dựa trên giao thức ICMP và kiểu quét này cho phép bạn tìm ra các nút “trực tiếp” trong mạng và xây dựng sơ đồ mạng với danh sách các nút của nó. Bản chất của phương pháp này là gửi các yêu cầu ICMP tới các nút mạng; nếu một máy tính hoặc thiết bị khác hoạt động với ngăn xếp giao thức TCP/IP đang hoạt động thì một phản hồi sẽ được gửi đi. Đây được gọi là quét ping hoặc quét ICMP. Có một số lượng lớn các công cụ cho phép bạn thực hiện việc quét như vậy.


Quét cổng. Giai đoạn tiếp theo là xác định các cổng mở. Về cơ bản, điều này giúp xác định dịch vụ nào đang chạy trên nút từ xa, danh sách mà chúng tôi đã nhận được do lần quét trước đó. Ngoài ra, từ việc phân tích các gói nhận được, bạn cũng có thể xác định hệ điều hành và một số thông số quan trọng khác (ví dụ: sự hiện diện của bộ lọc gói).

Ở đây chúng ta đang nói về quét TCP. Nguyên tắc của nó dựa trên đặc thù của TCP. Về bản chất, một cơ chế tương tác rất giống nhau được áp dụng trong ngành hàng không trong quá trình đàm phán giữa phi công và người điều phối, bao gồm yêu cầu, phản hồi kèm theo hướng dẫn và xác nhận hướng dẫn đã nhận. Phương thức tương tác này nếu không loại bỏ hoàn toàn khả năng hiểu lầm thì ít nhất khả năng này cũng giảm đáng kể.

Nó có thể trông như thế này:

  • Phi công: Sheremetyevo-Taxiing, Aeroflot 502, sơ bộ rõ ràng.
  • Người điều phối: Aeroflot 502, 25 right1 trên RD2 10, tuyến chính, thông quan sơ bộ RD5.
  • Phi công: Aeroflot 502, 25 bên phải, trên đường lăn 10, đường chính, đường lăn 5 đã được thông quan sơ bộ.

Những gì đang xảy ra ở đây? Phi công đã xin phép người điều phối cho phép taxi và lộ trình của anh ta. Người điều phối đã ủy quyền cho việc đi taxi và xác định lộ trình.

Phi công đã xác nhận lộ trình và sự cho phép của người điều phối. Thế là xong, bạn có thể di chuyển - lộ trình đã được nhận.

Điều tương tự cũng xảy ra trong giao tiếp TCP. Sơ đồ phối hợp ba bước hoặc “ba giai đoạn” được sử dụng ở đây; thuật ngữ “bắt tay ba giai đoạn” cũng được sử dụng, cho phép bạn đồng bộ hóa các nút truyền và nhận và thiết lập một phiên, về cơ bản giống với sơ đồ phối hợp. ví dụ với thông tin vô tuyến.


Sử dụng thuật toán hợp pháp này, kẻ tấn công có thể tìm ra cổng nào đang mở trên máy chủ, tức là hiểu được dịch vụ nào được sử dụng trong hệ thống, hệ điều hành nào. Có một số kỹ thuật hiệu quả cho việc này.

Quét kết nối đầy đủ

Một số kỹ thuật quét cổng. Phương pháp quét hiệu quả và không phức tạp nhất là Full Connect Scan (Quét mở toàn bộ). Các nguyên tắc của nó được thể hiện chính xác trong Hình 3. Một nỗ lực được thực hiện để thực hiện bắt tay ba chiều với các nút mà nhà nghiên cứu quan tâm. Nếu cổng được yêu cầu mở thì chúng tôi sẽ nhận được tin nhắn SYN+ACK từ cổng đó, sau đó chúng tôi sẽ gửi RST (đặt lại phiên) đến nút; nếu nó bị đóng thì chúng tôi sẽ nhận được RST từ nút đang được kiểm tra. Cần lưu ý rằng phương pháp quét này rất dễ được xác định, do đó, không khó để chống lại nó.

Quét lén lút

Một cách khác để quét mạng được gọi là Stealth Scan (Quét nửa mở). Trong trường hợp này, kẻ tấn công cố gắng vượt qua sự bảo vệ của tường lửa và ngụy trang thành lưu lượng mạng bình thường để tránh ghi lại sự kiện quét vào nhật ký hệ thống. Ở đây chúng ta không nói về việc đàm phán; nhà nghiên cứu chỉ cần gửi gói SYN đến cổng quan tâm trên máy chủ được yêu cầu. Nếu phản hồi là SYN+ACK thì cổng đang mở, nếu RST thì cổng sẽ đóng.

Phương pháp quét này phức tạp hơn nhưng các hệ thống ngăn chặn xâm nhập hiện đại phải có khả năng chịu được nó.

Quét Giáng sinh

Các phương pháp quét không kém phần nổi tiếng là Xmas Scan và Null Scan, nhưng chúng tôi sẽ không xem xét chúng do tính năng bảo vệ chống lại chúng được triển khai trong các hệ điều hành hiện đại của Microsoft, vì vậy chúng sẽ không được chúng tôi quan tâm nhiều. Điểm đặc biệt của các kiểu quét này là chế độ hoạt động ẩn, tức là không cần thiết lập phiên. Tuy nhiên, bạn có thể xem chi tiết trong khóa học Ethical Hacking hoặc trong cuốn sách “Network Security Test Lab”. Những kiểu quét này chỉ có hiệu quả trên các hệ điều hành có ngăn xếp TCP dựa trên RFC 793. Tất cả các hệ điều hành hiện đại từ Windows Vista trở lên không bị ảnh hưởng bởi rủi ro này.

Quét nhàn rỗi

Có lẽ phương pháp quét thú vị nhất là Idle Scan. Ý tưởng chính là kẻ tấn công có thể quét nạn nhân mà không hiển thị địa chỉ IP của anh ta, nghĩa là từ quan điểm của nút được quét, kẻ tấn công dường như không giao tiếp với anh ta. Một nút “giả” được sử dụng, nút này có thể được các hệ thống biện pháp đối phó xâm nhập xác định là nguồn gốc của cuộc tấn công. Đây là một kỹ thuật rất hợp lý, được gọi là giả mạo, khi địa chỉ của người gửi được thay thế bằng địa chỉ của thiết bị khác. Phải nói rằng, một máy tính có những lỗ hổng nhất định có thể trở thành một nút “giả” hay “thây ma”. Hệ điều hành thường cần được cập nhật, nhưng điều này không phải lúc nào cũng đúng và kẻ tấn công luôn có thể tìm thấy “người trợ giúp”; ngoài ra, có thể sử dụng máy in mạng hoặc thiết bị mạng khác hoạt động với chức năng cơ bản của ngăn xếp TCP; một “thây ma” /IP.

Quá trình quét này sử dụng trường Nhận dạng trong tiêu đề IP (IPID). Giá trị IPID tăng thêm một trong mỗi gói tiếp theo mà nút gửi. Về bản chất, đây là một lỗ hổng vì có thể dự đoán có bao nhiêu gói được truyền giữa hai gói được nhận. Các hệ điều hành hiện đại sử dụng một giá trị ngẫu nhiên cho trường IPID, tuy nhiên, như đã đề cập ở trên, luôn có một giải pháp. Đối với các hệ thống Unix và Windows hiện đại từ Windows Vista trở lên, vấn đề này đã không còn liên quan nữa.

Hãy xem Hình 4 và 5. Ở bước đầu tiên (1), kẻ tấn công liên hệ với một thiết bị giả mạo bằng gói SYN tiêu chuẩn. Thiết bị sẽ phản hồi bằng gói SYN ACK (2) hoặc SYN RST, điều này có nhiều khả năng xảy ra hơn nhưng kẻ tấn công sẽ nhìn thấy IPID từ tiêu đề gói. Đây là điều bạn cần nhớ (3). Tiếp theo, kẻ tấn công liên hệ với máy chủ mà hắn quan tâm (4) và thay thế địa chỉ IP của mình bằng địa chỉ của một nút giả, tức là hắn ngụy trang bằng cách giả mạo (giả mạo địa chỉ). Để đáp lại yêu cầu này, máy chủ, nếu cổng mở, sẽ gửi SYN/ACK đến địa chỉ giả (5). Chúng tôi đã thực hiện thay đổi. Không biết phải làm gì với gói tin này, máy tính giả mạo sẽ phản hồi bằng RST (đặt lại phiên), đồng thời tăng giá trị IPID của nó. Trong trường hợp của chúng tôi, nó sẽ bằng 30132 (6). Nếu cổng bị đóng, máy chủ sẽ gửi thiết lập lại phiên (RST) - xem Hình 5 (5).


Quét không hoạt động (cổng trên máy chủ đang mở)

Quét không hoạt động (cổng trên máy chủ đã bị đóng)

IPID của nút giả vẫn không thay đổi, trong trường hợp của chúng tôi là 30131, vì “thây ma” không gửi bất cứ thứ gì cho bất kỳ ai khác. Bây giờ tất cả những gì còn lại là chuyển sang “thây ma” một lần nữa, như chúng tôi đã làm ở trên, xác định IPID của nó và so sánh nó với giá trị mà chúng tôi có. Nếu IPID tăng thêm 2 thì cổng đang mở.

Một điểm quan trọng khác mà tôi muốn lưu ý là các hệ điều hành có những đặc điểm riêng khi làm việc với ngăn xếp TCP/IP. Sử dụng các tính năng này khi phân tích các gói nhận được trong quá trình quét, hoàn toàn có thể tìm ra hệ điều hành mà chúng ta đang xử lý; Kỹ thuật quét Banner Grabbing được xây dựng dựa trên các nguyên tắc này. Nhiệm vụ là xác định thông tin về hệ thống máy tính và các lỗ hổng của nó, điều này sẽ cho phép kẻ tấn công sử dụng kiến ​​thức này cho các hành động phá hoại tiếp theo của chúng. Bất kỳ máy quét hiện đại nào cũng sẽ cung cấp cho kẻ tấn công thông tin này.

Hệ điều hành thường cần phải được cập nhật, nhưng điều này không phải lúc nào cũng đúng và kẻ tấn công có thể tìm thấy người trợ giúp hoặc máy in mạng hoặc thiết bị mạng khác chạy chức năng cơ bản của ngăn xếp TCP có thể được sử dụng làm IP zombie.

Dễ dàng nhận thấy rằng tất cả các phương pháp quét được xem xét đều dựa trên hoạt động bình thường của các nút, điều đó có nghĩa là bất kỳ máy tính hoặc thiết bị mạng nào khác đều có khả năng bị tấn công.

Kẻ tấn công có khả năng thu thập và phân tích thông tin nhận được về cấu trúc mạng, dịch vụ và các lỗ hổng hệ thống. Điều này tạo cơ hội tiềm tàng để chuẩn bị một cuộc tấn công có mục tiêu chống lại các nút và dịch vụ cụ thể.

Đối số của tùy chọn --scanflags có thể là một giá trị số, chẳng hạn như 9 (cờ PSH và FIN), nhưng việc sử dụng tên tượng trưng thì đơn giản hơn nhiều. Sử dụng bất kỳ sự kết hợp nào của URG, ACK, PSH, RST, SYN và FIN. Ví dụ: tùy chọn --scanflags URGACKPSHRSTSYNFIN sẽ đặt tất cả các cờ, mặc dù điều này không hữu ích lắm cho việc quét. Thứ tự các cờ được chỉ định không quan trọng.

Ngoài việc chỉ định các cờ mong muốn, bạn cũng có thể chỉ định kiểu quét TCP (ví dụ: -sA hoặc -sF). Điều này sẽ cho Nmap biết cách diễn giải các phản hồi. Ví dụ: với quá trình quét SYN, không có phản hồi nào cho biết cổng đã được lọc, trong khi với quét FIN, nó cho biết cổng đã được lọc mở. Nmap sẽ thực hiện kiểu quét được chỉ định, nhưng sử dụng cờ TCP mà bạn chỉ định thay vì cờ mặc định. Nếu bạn không chỉ định loại quét thì mặc định sẽ là SYN.

-sI <зомби_хост> [: <порт> ] (lười quét nhàn rỗi)

Ngoài tính năng vô hình (do tính chất của nó), kiểu quét này còn cho phép phát hiện mối quan hệ tin cậy dựa trên IP giữa các máy. Danh sách cổng mở hiển thị các cổng đang mở từ quan điểm của cỗ máy zombie. Do đó, bạn có thể thử quét mục tiêu bằng nhiều máy zombie khác nhau mà bạn cho rằng có thể đáng tin cậy (thông qua quy tắc lọc bộ định tuyến/gói).

Bạn có thể thêm số cổng sau dấu hai chấm vào máy chủ zombie nếu bạn muốn sử dụng một cổng cụ thể. Theo mặc định, cổng 80 sẽ được sử dụng.

Các cổng cũng có thể được chỉ định bằng tên mà chúng tương ứng trong tệp nmap-services. Bạn thậm chí có thể sử dụng * và ? trong những cái tên. Ví dụ: để quét ftp và tất cả các cổng bắt đầu bằng http, hãy sử dụng -p ftp,http* . Trong những trường hợp như vậy, tốt hơn nên trích dẫn các đối số -p.

Phạm vi cổng được đặt trong dấu ngoặc vuông; các cổng trong phạm vi này xuất hiện trong dịch vụ nmap sẽ được quét. Ví dụ: tùy chọn sau sẽ quét tất cả các cổng từ nmap-services bằng hoặc nhỏ hơn 1024: -p [-1024] . Trong những trường hợp như vậy, tốt hơn nên trích dẫn các đối số -p.

-sO (Quét giao thức IP)

Kiểu quét này cho phép bạn xác định giao thức IP nào (TCP, ICMP, IGMP, v.v.) được máy mục tiêu hỗ trợ. Về mặt kỹ thuật, việc quét như vậy không phải là kiểu quét cổng, bởi vì nó chuyển qua các số giao thức IP thay vì số cổng TCP hoặc UDP. Mặc dù điều này vẫn sử dụng tùy chọn -p để chọn số giao thức cần quét nhưng kết quả được trả về ở định dạng bảng cổng và thậm chí sử dụng cùng một công cụ quét như các tùy chọn quét cổng khác nhau. Do đó, nó khá gần với chức năng quét cổng và được mô tả ở đây.

Ngoài việc hữu ích trong ứng dụng dự kiến, kiểu quét này còn thể hiện sức mạnh của phần mềm nguồn mở. Mặc dù ý tưởng cơ bản khá đơn giản nhưng tôi chưa bao giờ nghĩ đến việc đưa tính năng như vậy vào Nmap và cũng chưa nhận được bất kỳ yêu cầu nào về việc làm như vậy. Sau đó, vào mùa hè năm 2000, Gerard Rieger đã phát triển ý tưởng này, viết một bản vá xuất sắc để triển khai nó và gửi nó tới tin tặc nmap bản tin. Tôi đã đưa bản vá này vào Nmap và phát hành phiên bản mới vào ngày hôm sau. Rất ít phần mềm thương mại có thể tự hào về người dùng đủ nhiệt tình để phát triển và đưa ra những cải tiến của họ!

Cách thức hoạt động của kiểu quét này rất giống với cách thức hoạt động của kiểu quét UDP. Thay vì thay đổi trường số cổng trong gói UDP, tiêu đề gói IP được gửi và trường giao thức IP 8 bit được thay đổi. Các tiêu đề thường trống, không chứa dữ liệu hoặc thậm chí là tiêu đề chính xác cho giao thức được yêu cầu. Các ngoại lệ là TCP, UDP và ICMP. Việc bao gồm tiêu đề chính xác cho các giao thức này là cần thiết vì... nếu không, một số hệ thống sẽ không gửi chúng và Nmap có tất cả các chức năng cần thiết để tạo chúng. Thay vì mong đợi một thông báo không thể truy cập cổng ICMP trong phản hồi, kiểu quét này mong đợi một thông báo không thể truy cập ICMP. giao thức. Nếu Nmap nhận được bất kỳ phản hồi nào từ bất kỳ giao thức nào thì giao thức đó được đánh dấu là mở. Lỗi không thể truy cập giao thức ICMP (loại 3, mã 2) đánh dấu giao thức là đã đóng. Các lỗi không thể truy cập ICMP khác (loại 3, mã 1, 3, 9, 10 hoặc 13) đánh dấu giao thức là đã lọc (đồng thời chúng chỉ ra rằng giao thức ICMP đang mở). Nếu không nhận được phản hồi sau một số yêu cầu, giao thức sẽ được đánh dấu là open|filtered

. -b (Quét thư bị trả lại FTP)

Một tính năng thú vị của giao thức FTP (RFC 959) là hỗ trợ cái gọi là kết nối FTP proxy. Điều này cho phép người dùng kết nối với một máy chủ FTP và sau đó yêu cầu nó truyền tệp sang máy chủ khác. Đây là sự vi phạm nghiêm trọng nên nhiều máy chủ đã ngừng hỗ trợ tính năng này. Sử dụng chức năng này, bạn có thể quét cổng của các máy chủ khác bằng máy chủ FTP này. Chỉ cần yêu cầu máy chủ FTP gửi tệp lần lượt đến từng cổng của máy mục tiêu mà bạn quan tâm. Thông báo lỗi sẽ cho biết cổng có được mở hay không. Đây là một cách tốt để vượt qua tường lửa vì... Các máy chủ FTP của tổ chức thường có nhiều quyền truy cập vào các máy chủ nội bộ khác hơn bất kỳ máy nào khác. Trong Nmap, kiểu quét này được chỉ định bằng tùy chọn -b. Nó được thông qua như một đối số <имя_пользователя> : <пароль> @ <сервер> : <порт> . <Сервер> - đây là tên mạng hoặc địa chỉ IP của máy chủ FTP. Giống như các URL thông thường, bạn có thể bỏ qua <имя_пользователя> : <пароль> , thì dữ liệu ẩn danh sẽ được sử dụng (người dùng: mật khẩu ẩn danh: -wwwuser@). Số cổng (và dấu hai chấm trước) cũng có thể được bỏ qua; thì cổng FTP mặc định (21) sẽ được sử dụng để kết nối với <серверу> .

Lỗ hổng này phổ biến rộng rãi vào năm 1997 khi Nmap được phát hành nhưng hiện tại đã được vá ở hầu hết mọi nơi. Vẫn còn những máy chủ dễ bị tấn công, vì vậy nếu vẫn thất bại, bạn nên thử. Nếu mục tiêu của bạn là vượt qua tường lửa, hãy quét mạng mục tiêu để tìm cổng 21 đang mở (hoặc thậm chí đối với bất kỳ dịch vụ FTP nào nếu bạn đang sử dụng tính năng phát hiện phiên bản), sau đó thử kiểu quét này với từng cổng được tìm thấy. Nmap sẽ cho bạn biết máy chủ có dễ bị tấn công hay không. Nếu bạn chỉ đang cố gắng che giấu dấu vết của mình thì bạn không cần (và trên thực tế là không nên) giới hạn bản thân chỉ ở các máy chủ trên mạng mục tiêu. Trước khi bạn bắt đầu quét các địa chỉ Internet ngẫu nhiên để tìm các máy chủ FTP dễ bị tấn công, hãy nhớ rằng nhiều quản trị viên hệ thống sẽ không thích điều này.

Một trong những công cụ phổ biến nhất dành cho quản trị viên hệ thống là tiện ích quét mạng. Khó có thể gặp một quản trị viên hệ thống chưa bao giờ sử dụng lệnh ping trong thực tế của mình, lệnh này được bao gồm (ở dạng này hay dạng khác) trong bất kỳ hệ điều hành nào. Thật vậy, quét mạng là một công cụ mạnh mẽ được sử dụng thường xuyên khi định cấu hình mạng và thiết bị mạng cũng như khi tìm kiếm các nút bị lỗi. Tuy nhiên, ngoài việc quét mạng vì “mục đích hòa bình”, những tiện ích này còn là công cụ yêu thích của bất kỳ hacker nào. Hơn nữa, tất cả các tiện ích quét mạng nổi tiếng nhất đều do tin tặc phát triển. Rốt cuộc, với sự trợ giúp của những tiện ích này, bạn có thể thu thập thông tin về các máy tính mạng được kết nối Internet, thông tin về kiến ​​trúc mạng, về loại thiết bị mạng được sử dụng, về các cổng mở trên máy tính mạng, tức là tất cả các thông tin chính cần thiết để kẻ tấn công hack mạng thành công. Chà, vì tin tặc sử dụng các tiện ích quét mạng nên các tiện ích này cũng được sử dụng để tìm ra các lỗ hổng của mạng cục bộ khi thiết lập nó (về sự hiện diện của các cổng mở, v.v.).

Nhìn chung, các tiện ích quét mạng tự động có thể chia thành hai loại: tiện ích quét địa chỉ IP và tiện ích quét cổng. Tất nhiên, sự phân chia này rất tùy tiện, vì trong phần lớn các trường hợp, máy quét mạng kết hợp cả hai khả năng.

Quét địa chỉ IP

Nếu chúng ta nói về các cơ chế được sử dụng trong các tiện ích quét địa chỉ IP, thì theo quy luật, chúng ta đang nói về việc gửi các gói quảng bá ICMP. Các tiện ích gửi gói loại ICMP ECHO đến địa chỉ IP được chỉ định và chờ gói phản hồi ICMP ECHO_REPLY. Nhận được gói như vậy có nghĩa là máy tính hiện được kết nối với mạng tại địa chỉ IP được chỉ định.

Khi xem xét khả năng thu thập thông tin mạng của giao thức ICMP, cần lưu ý rằng việc nghe bằng tiện ích ping và các tiện ích tương tự chỉ là phần nổi của tảng băng trôi. Bằng cách trao đổi các gói ICMP với bất kỳ nút mạng nào, bạn có thể thu được nhiều thông tin có giá trị về mạng hơn là nêu rõ thực tế rằng nút đó được kết nối với mạng tại một địa chỉ IP nhất định.

Một câu hỏi hợp lý được đặt ra ở đây: liệu có thể bảo vệ khỏi kiểu quét này không? Trên thực tế, tất cả những gì cần thiết cho việc này là chặn phản hồi đối với các yêu cầu ICMP. Cách tiếp cận này thường được sử dụng bởi các quản trị viên hệ thống quan tâm đến tính bảo mật của mạng của họ. Tuy nhiên, mặc dù chặn các gói ICMP, vẫn có các phương pháp khác để xác định xem một máy chủ nhất định có được kết nối với mạng hay không.

Trong trường hợp giao tiếp qua giao thức ICMP bị chặn, phương pháp quét cổng sẽ được sử dụng. Bằng cách quét các cổng tiêu chuẩn của từng địa chỉ IP tiềm năng trên mạng, bạn có thể xác định máy chủ nào được kết nối với mạng. Nếu cổng đang mở (opened port) hoặc đang ở chế độ listen, điều này có nghĩa là có một máy tính được kết nối mạng tại địa chỉ IP này.

Việc nghe mạng bằng cách quét cổng được phân loại là cái gọi là theo dõi TCP.

Bảo vệ quét IP

Vì việc nghe lén mạng trái phép trong trường hợp tốt nhất là gây khó chịu cho quản trị viên hệ thống, nên có các biện pháp đối phó thích hợp có thể vừa phát hiện thực tế của việc nghe lén vừa chặn đường đi của các gói được truyền trong quá trình nghe ping.

Như đã lưu ý, việc đánh hơi ICMP và TCP là các phương pháp phổ biến để thăm dò mạng trước khi cố gắng xâm nhập trực tiếp. Do đó, việc xác định thực tế nghe lén là rất quan trọng xét từ góc độ khả năng thu được thông tin về vị trí xâm nhập tiềm ẩn và nguồn gốc của mối đe dọa.

Tuy nhiên, việc có thể phát hiện kịp thời thực tế nghe lén mạng không có nghĩa là giải quyết được vấn đề. Trong trường hợp này, điều quan trọng không kém là có thể ngăn chặn khả năng nghe lén trên mạng. Bước đầu tiên theo hướng này là đánh giá tầm quan trọng của giao tiếp ICMP giữa các máy chủ trên một mạng cục bộ cụ thể. Có nhiều loại gói ICMP khác nhau và gói ICMP ECHO và ICMP ECHO_REPLY được đề cập ở trên chỉ là hai trong số đó. Trong hầu hết các trường hợp, không cần thiết phải cho phép liên lạc giữa các máy chủ và Internet bằng cách sử dụng tất cả các loại gói có sẵn. Hầu như tất cả các tường lửa hiện đại (cả phần cứng và phần mềm) đều có khả năng lọc các gói ICMP. Do đó, nếu vì một số lý do không thể chặn hoàn toàn tất cả các loại tin nhắn ICMP, bạn nên đảm bảo chặn những loại tin nhắn không cần thiết cho hoạt động bình thường của mạng. Ví dụ: nếu có một máy chủ trên mạng công ty nằm trong khu vực phi quân sự (DMZ), thì để máy chủ hoạt động bình thường, chỉ cần cho phép các tin nhắn ICMP thuộc loại ECHO_REPLY, HOST UNREACABLE và TIME EXCEEDED là đủ. Ngoài ra, trong nhiều trường hợp, tường lửa cho phép bạn tạo danh sách các địa chỉ IP được phép trao đổi tin nhắn ICMP. Trong trường hợp này, bạn chỉ có thể cho phép gửi tin nhắn ICMP tới ISP của mình. Điều này một mặt sẽ cho phép nhà cung cấp chẩn đoán kết nối, mặt khác nó sẽ gây khó khăn cho việc nghe lén trái phép trên mạng.

Bạn nên luôn nhớ rằng, mặc dù giao thức ICMP có tất cả sự tiện lợi trong việc chẩn đoán các sự cố mạng, nhưng nó cũng có thể được sử dụng thành công để tạo ra chính những sự cố này. Bằng cách cho phép truy cập mạng không hạn chế thông qua ICMP, bạn đang cho phép tin tặc thực hiện một cuộc tấn công DoS.

Quét cổng

Kiểu quét mạng tiếp theo là quét cổng. Cơ chế quét cổng dựa trên nỗ lực kiểm tra kết nối với cổng TCP và UDP của máy tính đang được kiểm tra để xác định các dịch vụ đang chạy và các cổng tương ứng của chúng. Các cổng được phục vụ có thể ở trạng thái mở hoặc chờ yêu cầu. Việc xác định cổng nào ở chế độ chờ cho phép bạn xác định loại hệ điều hành bạn đang sử dụng, cũng như các ứng dụng đang chạy trên máy tính của bạn.

Có tương đối nhiều phương pháp quét cổng, nhưng đối với hệ thống Windows, những phương pháp phổ biến nhất là:

  • Quét kết nối TCP;
  • Quét TCP bằng tin nhắn SYN (quét TCP SYN);
  • Quét Null TCP;
  • Quét TCP bằng tin nhắn ACK (TCP ACK scan);
  • Quét UDP.

Phương pháp quét kết nối TCP bao gồm việc cố gắng kết nối qua giao thức TCP tới cổng mong muốn và thực hiện toàn bộ quy trình đàm phán các tham số kết nối (quy trình bắt tay), bao gồm việc trao đổi các thông báo dịch vụ (SYN, SYN/ACK, ACK) giữa mạng điểm giao.

Trong phương pháp quét TCP SYN, cổng không được kết nối đầy đủ. Một thông báo SYN được gửi đến cổng đang được kiểm tra và nếu nhận được thông báo SYN/ACK phản hồi thì điều này có nghĩa là cổng đang ở chế độ nghe. Phương pháp quét cổng này ẩn hơn phương pháp quét kết nối đầy đủ.

Phương thức quét Null TCP gửi các gói có cờ bị tắt. Nút đang được điều tra phải phản hồi bằng thông báo RST cho tất cả các cổng đã đóng.

Phương pháp quét TCP ACK cho phép bạn xác định bộ quy tắc mà tường lửa sử dụng và xác định xem tường lửa có thực hiện lọc gói nâng cao hay không.

Phương pháp quét UDP liên quan đến việc gửi các gói bằng giao thức UDP. Nếu phản hồi là thông báo rằng cổng không khả dụng thì điều này có nghĩa là cổng đã bị đóng. Nếu không có phản hồi như vậy, chúng ta có thể cho rằng cổng đang mở. Điều đáng chú ý là giao thức UDP không đảm bảo việc gửi tin nhắn nên phương pháp quét này không đáng tin cậy lắm. Ngoài ra, quét UDP là một quá trình rất chậm và do đó loại quét này cực kỳ hiếm khi được sử dụng.

Bảo vệ quét cổng

Bạn khó có thể ngăn chặn ai đó thử quét cổng trên máy tính của mình. Tuy nhiên, hoàn toàn có thể ghi lại chính xác quá trình quét và giảm thiểu những hậu quả có thể xảy ra. Để thực hiện việc này, bạn nên định cấu hình tường lửa cho phù hợp và vô hiệu hóa tất cả các dịch vụ không sử dụng. Thiết lập tường lửa là đóng tất cả các cổng không sử dụng. Ngoài ra, tất cả tường lửa phần cứng và phần mềm đều hỗ trợ phát hiện quét cổng nên đừng bỏ qua tính năng này.

Tiện ích quét mạng

WS PingPro 2.30

Nền tảng: Windows 98/Me/NT/2000/XP

Giá: $80

Bản thử: 30 ngày

Một trong những tiện ích nổi tiếng nhất để quét địa chỉ IP mạng là WS PingPro 2.30 (Hình 1).

Trình quét WS PingPro 2.30 cho phép bạn xác định danh sách tất cả các địa chỉ IP có các nút được kết nối với mạng, cũng như tìm ra tên mạng của chúng. Ngoài ra, trình quét WS PingPro 2.30 xác định các dịch vụ đang chạy trên máy tính và cho phép quét các cổng của máy tính mạng trong một phạm vi xác định (tính năng này bị chặn trong phiên bản demo của chương trình).

Để định cấu hình cho các mạng có hiệu suất khác nhau, máy quét WS PingPro 2.30 cho phép bạn đặt thời gian dự kiến ​​​​sẽ có phản hồi từ máy chủ mạng (theo mặc định là 300 mili giây).

Lưu ý rằng trình quét mạng chỉ là một trong những tính năng của gói WS PingPro 2.30. Ngoài chức năng quét mạng, gói WS PingPro 2.30 còn cung cấp cho người dùng các tiện ích như công cụ SNMP, WinNet, Time tool, Throughput, Info tool, v.v.

Do đó, tiện ích công cụ SNMP cho phép bạn lấy thông tin về nút mạng (thường là bộ chuyển mạch và bộ định tuyến) hỗ trợ giao thức SNMP.

Tiện ích WinNet cho phép bạn quét mạng cục bộ của mình và hiển thị tên NetBEUI của tất cả các nút mạng, tên miền và tài nguyên được chia sẻ.

Công cụ Thời gian đồng bộ hóa thời gian của máy tính cục bộ với thời gian của máy chủ thời gian gần nhất.

Thông lượng đây là một tiện ích chẩn đoán nhỏ cho phép bạn kiểm tra tốc độ kết nối của người dùng với một nút mạng từ xa.

Máy quét IP nâng cao v.1.4

Nền tảng: các cửa sổ

Giá: miễn phí

Tiện ích Advanced IP Scanner 1.4 là một trong những ứng dụng quét IP nhanh nhất hiện nay (Hình 2). Ví dụ: quét mạng Lớp C chỉ mất vài giây. Ngoài chức năng quét IP, tiện ích Advanced IP Scanner 1.4 cho phép bạn lấy thông tin về tên máy chủ mạng, đồng thời cung cấp tính năng tắt hoặc khởi động lại máy tính từ xa. Nếu máy tính hỗ trợ chức năng Wake-On-Lan thì có thể bật chúng từ xa. Lưu ý rằng các chức năng như tắt, khởi động lại hoặc bật máy tính từ xa có thể được thực hiện đồng thời cho tất cả hoặc một nhóm máy tính nối mạng.

Máy quét mạng LAN nâng cao v1.0 BETA

Nền tảng: các cửa sổ

Giá: miễn phí

Một tiện ích khác cho phép bạn quét địa chỉ IP là Advanced LAN Scanner v1.0 BETA (Hình 3). So với Advanced IP Scanner 1.4, tiện ích này là sự kết hợp giữa máy quét IP và máy quét cổng, cho phép bạn không chỉ xác định địa chỉ IP mà còn thu thập thông tin chi tiết về tên mạng của máy tính, hệ điều hành được cài đặt trên chúng , mở cổng và quyền sở hữu người dùng cho một nhóm cụ thể, về những người dùng được cấp quyền truy cập vào máy tính và nhiều thông tin khác có thể rất hữu ích cho cả quản trị viên hệ thống và kẻ tấn công. Ngoài ra, máy quét này có khả năng tùy biến cao và cho phép bạn đặt số lượng luồng chạy đồng thời, phạm vi cổng được quét cũng như kiểm soát thời gian chờ phản hồi cho yêu cầu. Tóm lại, chúng tôi lưu ý rằng máy quét này cho phép bạn kết nối với máy chủ đã chọn bằng tài khoản người dùng hiện tại của bạn hoặc bằng cách chỉ định tên người dùng và mật khẩu.

Nhưng ưu điểm quan trọng nhất của máy quét Advanced LAN Scanner v1.0 BETA là ở thời điểm hiện tại, nó là một trong những máy quét nhanh nhất. Hãy nói thêm ở đây rằng máy quét này là miễn phí và sẽ rõ lý do tại sao bất kỳ quản trị viên hệ thống nào (và không chỉ anh ta) đều phải có nó trong tay.

Máy quét cổng nâng cao v1.2

Nền tảng: các cửa sổ

Giá: miễn phí

Tiện ích Advanced Port Scanner v1.2 (Hình 4) về cơ bản có chức năng tương tự như Advanced LAN Scanner v1.0 BETA. Do đó, Advanced Port Scanner v1.2 cho phép bạn thu thập thông tin về địa chỉ IP của máy chủ, tên mạng và cổng mở của chúng. Các tùy chọn để tùy chỉnh máy quét này bao gồm cài đặt phạm vi địa chỉ IP và cổng được quét. Ngoài ra, có thể đặt số lượng luồng thực thi đồng thời và kiểm soát thời gian chờ phản hồi cho yêu cầu.

Lưu ý rằng máy quét này, giống như máy quét Advanced LAN Scanner v1.0 BETA, rất nhanh và cho phép bạn thu thập thông tin chi tiết về mạng trong thời gian ngắn nhất.

Công cụ IP v2.50

Nền tảng: các cửa sổ

Giá: miễn phí

Gói IP-Tools v2.50 là một bộ gồm 19 tiện ích mạng được hợp nhất bởi một giao diện chung (Hình 5). Theo nghĩa này, máy quét IP và máy quét cổng chỉ là một trong những khả năng của tiện ích IP-Tools v2.50.

Gói IP-Tools v2.50 bao gồm:

  • Tiện ích Thông tin cục bộ hiển thị thông tin về máy tính cục bộ (loại bộ xử lý, bộ nhớ, v.v.);
  • Tiện ích Giám sát kết nối hiển thị thông tin về các kết nối TCP và UDP hiện tại;
  • Tiện ích NetBIOS Info hiển thị thông tin về giao diện NetBIOS của máy tính cục bộ và máy tính từ xa;
  • NB Scanner máy quét tài nguyên mạng dùng chung;
  • Máy quét SNMP Scanner cho các thiết bị SNMP trên mạng;
  • Máy quét tên Máy quét tên mạng máy tính;
  • Máy quét cổng Máy quét cổng TCP;
  • Máy quét UDP Máy quét cổng UDP;
  • Ping Scanner Máy quét IP sử dụng quy trình ping;
  • Tiện ích theo dõi để theo dõi lộ trình của các gói;
  • Tiện ích WhoIs cho phép bạn thu thập thông tin về các nút trên Internet;
  • Tiện ích Finger thu thập và cung cấp thông tin về người dùng PC từ xa bằng giao thức Finger;
  • Tiện ích NS LookUp cho phép bạn so khớp địa chỉ IP và tên miền;
  • Tiện ích GetTime cho phép bạn đồng bộ hóa thời gian của PC cục bộ và máy chủ thời gian được chỉ định;
  • Tiện ích Telnet để tìm kiếm các máy khách mạng đã cài đặt dịch vụ Telnet;
  • Tiện ích HTTP để tìm kiếm các máy khách mạng đã cài đặt dịch vụ HTTP;
  • Tiện ích IP-Monitor để hiển thị lưu lượng IP trong thời gian thực;
  • Tiện ích Host Monitor để theo dõi trạng thái của các nút mạng (đã kết nối/ngắt kết nối).

Cần lưu ý rằng, không giống như các tiện ích Advanced Port Scanner v1.2, Advanced LAN Scanner v1.0 BETA và Advanced IP Scanner 1.4 đã thảo luận ở trên, các máy quét được tích hợp trong gói IP-Tools v2.50 khó có thể được gọi là tốc độ cao. . Quá trình quét mất rất nhiều thời gian, vì vậy nếu nhiệm vụ là quét IP hoặc quét cổng thì tốt hơn hết bạn nên sử dụng các tiện ích nhanh hơn.

Máy quét IP tức giận 2.21

Nền tảng: các cửa sổ

Giá: miễn phí

Angry IP Scanner 2.21 là một tiện ích nhỏ kết hợp giữa máy quét IP và máy quét cổng (Hình 6). Ưu điểm không thể nghi ngờ của tiện ích này bao gồm thực tế là nó không yêu cầu cài đặt trên PC. Ngoài ra, các máy quét được tích hợp trong nó rất nhanh và cho phép bạn quét toàn bộ mạng cục bộ chỉ trong vài giây.

Máy quét IP được tích hợp trong tiện ích sẽ ping từng địa chỉ IP để xác định sự hiện diện của nó trên mạng, sau đó, tùy thuộc vào các tùy chọn đã chọn, cho phép bạn xác định tên mạng của máy chủ, địa chỉ MAC và cổng quét của nó.

Các tính năng bổ sung của tiện ích Angry IP Scanner 2.21 bao gồm thu thập thông tin NetBIOS (tên máy tính, tên nhóm làm việc và tên người dùng PC). Kết quả quét có thể được lưu ở nhiều định dạng khác nhau (CSV, TXT, HTML, XML).

Tốc độ quét cao của tiện ích Angry IP Scanner 2.21 đạt được nhờ sử dụng nhiều luồng song song. Vì vậy, theo mặc định, 64 luồng được sử dụng, nhưng con số này có thể tăng lên để đạt được hiệu suất cao hơn nữa.

Siêu quét 4

Nền tảng: Windows 2000/XP

Giá: miễn phí

Tiện ích SuperScan 4 (Hình 7) là phiên bản mới của máy quét mạng SuperScan nổi tiếng. Tiện ích này là một trình quét cổng và địa chỉ IP nhanh chóng và linh hoạt khác. Tiện ích này cho phép bạn chỉ định linh hoạt danh sách địa chỉ IP của các nút đang được kiểm tra và các cổng được quét. Lưu ý rằng, giống như Angry IP Scanner 2.21, SuperScan 4 không yêu cầu cài đặt trên máy tính.

So với phiên bản trước, phiên bản mới của SuperScan 4 tăng tốc độ quét, hỗ trợ phạm vi địa chỉ IP không giới hạn, cải thiện phương pháp quét bằng yêu cầu ICMP, thêm phương thức quét cổng TCP SYN, v.v.

Khi làm việc với máy quét SuperScan 4, bạn có thể nhập thủ công các địa chỉ IP quét hoặc xuất địa chỉ từ một tệp. Hỗ trợ đầu vào các địa chỉ đơn, dải địa chỉ và phạm vi ở định dạng CIDR (10.0.0.1/255). Ngoài ra, địa chỉ IP có thể được dán trực tiếp từ clipboard.

Mặc dù máy quét SuperScan 4 hoạt động tốt với cài đặt mặc định nhưng nó có các tùy chọn cấu hình rất linh hoạt. Đặc biệt, bằng cách sử dụng cài đặt máy quét SuperScan 4, bạn có thể chỉ định quét cho những máy chủ mạng phản hồi yêu cầu và được xác định là có mặt trên mạng. Đồng thời, bạn có thể buộc máy quét kiểm tra tất cả các máy chủ mạng, bất kể chúng có đáp ứng yêu cầu ICMP hay không.

Tiện ích SuperScan 4 có trình quét UDP tích hợp hỗ trợ hai kiểu quét: Dữ liệu và Dữ liệu+ICMP. Trong phương thức Dữ liệu, các gói dữ liệu UDP được gửi đến nút đang được điều tra, yêu cầu phản hồi từ các dịch vụ sử dụng các cổng phổ biến. Phương pháp Data+ICMP sử dụng phương pháp quét tương tự. Nếu cổng không phản hồi với thông báo “Không thể truy cập cổng đích ICMP” thì cổng đó được coi là mở. Tiếp theo, chúng tôi quét các cổng đã đóng đã biết để xem liệu chúng có tạo ra thông báo phản hồi hay không. Lưu ý rằng phương pháp này đôi khi có thể tạo ra kết quả sai, đặc biệt nếu phản hồi đối với yêu cầu ICMP bị chặn.

Tiện ích SuperScan 4 hỗ trợ hai kiểu quét cổng TCP: TCP-connect và TCP SYN. Cài đặt máy quét cho phép bạn chọn kiểu quét TCP. Trong số các tùy chọn để tùy chỉnh máy quét SuperScan 4, người ta có thể lưu ý đến việc kiểm soát tốc độ quét (tốc độ máy quét gửi gói tới mạng).

Tóm lại, chúng tôi lưu ý rằng để sử dụng tiện ích này trên mạng cục bộ, bạn phải có quyền quản trị mạng.

NEWT Professional v.2.0

Nền tảng: Windows 95/98/NT/2000/XP

Giá: tùy thuộc vào số lượng PC được hỗ trợ trên mạng

Có lẽ chúng tôi sẽ đưa ra ý kiến ​​chủ quan, nhưng theo ý kiến ​​​​của chúng tôi, trong số tất cả các tiện ích mà chúng tôi đã đánh giá, NEWT Professional v.2.0 (Hình 8) là tiện ích có nhiều chức năng nhất. Tuy nhiên, thật khó để coi nó là máy quét IP hay máy quét cổng. Đúng hơn, nó là một trình quét mạng toàn diện cho phép bạn tự động hóa việc thu thập thông tin về các máy tính trên mạng cục bộ của mình. Đối với những quản trị viên hệ thống thỉnh thoảng phải xử lý việc kiểm kê mạng, nó sẽ là một công cụ không thể thiếu.

Thật không may, không giống như các tiện ích khác mà chúng tôi đã đánh giá, NEWT Professional v.2.0 được trả phí và phiên bản demo của chương trình có thời hạn hiệu lực 30 ngày và chức năng hạn chế (ví dụ: nó chỉ hỗ trợ quét 10 máy tính trong mạng).

Công cụ Internet OstroSoft v.5.1

Nền tảng: Windows 95/98/NT/2000/XP

Giá:$29

Tiện ích OstroSoft Internet Tools v.5.1 (Hình 9) là một trình quét mạng toàn diện bao gồm 22 tiện ích: Scan Wizard, Domain Scanner, Port Scanner, Netstat, Ping, Traceroute, Host Resolver, NS Lookup, Network Info, Local Info, Finger , FTP, Trình xem HTML, Ph, Dịch vụ đơn giản, Máy khách TCP, WhoIs, Trình theo dõi kết nối, Trình theo dõi máy chủ, Trình theo dõi dịch vụ, Trình theo dõi thư, Trình theo dõi HTML.

Về cơ bản, Scan Wizard vừa là máy quét IP vừa là máy quét cổng và cho phép cài đặt khá linh hoạt. Đặc biệt, bạn có thể đặt tốc độ quét, nhập dải địa chỉ IP, đặt dải cổng được quét và chọn kiểu quét cổng. Kết quả quét có thể được lưu lại. Điều đáng chú ý là xét về đặc điểm tốc độ, máy quét này không có khả năng vượt trội nên việc khám phá mạng lớp C có thể mất rất nhiều thời gian.

Tiện ích Domain Scanner cho phép bạn xác định các máy chủ đó trong miền mạng sử dụng một dịch vụ cụ thể. Ví dụ: bằng cách đặt địa chỉ miền, bạn có thể tìm hiểu máy chủ Web, máy chủ Thư, máy chủ FTP, v.v. được cài đặt trên máy tính nào.

Tiện ích Port Scanner là một trình quét cổng, nhưng, không giống như Scan Wizard, trong trường hợp này chúng ta đang nói về việc quét một máy tính riêng lẻ. Tiện ích cho phép bạn thiết lập phạm vi cổng được quét, định cấu hình tốc độ quét và thời gian chờ. Kết quả quét không chỉ là danh sách các cổng mở hoặc không hoạt động mà còn cả các dịch vụ hoặc ứng dụng tương ứng của chúng, cũng như mô tả ngắn gọn về các dịch vụ này.

Tiện ích Ping là một biến thể của lệnh ping nhưng có khả năng định cấu hình bằng giao diện đồ họa.

Traceroute là một biến thể của lệnh tracert có thể được cấu hình bằng GUI.

Tiện ích Netstat cho phép bạn hiển thị thông tin về các kết nối đang hoạt động trên máy tính cục bộ của bạn.

Host Resolver xác định địa chỉ IP từ tên mạng hoặc URL và ngược lại.

Các tiện ích còn lại được tích hợp trong gói OstroSoft Internet Tools v.5.1 khá đơn giản và không cần chú thích.

Điều đáng chú ý là gói OstroSoft Internet Tools v.5.1 phải trả phí. Xem xét rằng có nhiều tính năng tương tự miễn phí không thua kém gói này về mặt chức năng, nên OstroSoft Internet Tools v.5.1 khó có thể trở nên phổ biến. Ngoài ra, phiên bản demo của chương trình có chức năng rất hạn chế và không cho phép bạn thay đổi cài đặt máy quét.

Tuyến đường 3D v. 2.1.8.18

Nền tảng: Windows 2000/2003/XP

Giá: miễn phí

Như tên của tiện ích này gợi ý (Hình 10), mục đích chính của nó là theo dõi lộ trình của các gói giữa các nút trên mạng. Đồng thời, điểm đặc biệt của tiện ích này là nó cho phép bạn xây dựng biểu đồ ba chiều về độ trễ dọc theo toàn bộ tuyến đường.

Tiện ích này không yêu cầu cài đặt trên máy tính của bạn và không kém phần thú vị, nó hoàn toàn miễn phí.

Tất nhiên, chúng tôi chủ yếu không quan tâm nhiều đến khả năng xây dựng biểu đồ độ trễ ba chiều mà quan tâm đến máy quét cổng được tích hợp vào tiện ích này (Hình 11).

Cơm. 11. Máy quét cổng tích hợp 3D Traceroute v. 2.1.8.18

Trình quét cổng cho phép bạn chỉ định phạm vi địa chỉ IP cần kiểm tra và các cổng cần quét. Khó có thể gọi máy quét này là nhanh. Anh ta phải mất hơn một giờ để quét mạng Loại C để tìm các cổng mở trong phạm vi 1-1024. Ngoài ra, hóa ra trong quá trình thử nghiệm, độ tin cậy của kết quả do máy quét này tạo ra là rất đáng nghi ngờ. Đặc biệt, trên tất cả các PC trong mạng thử nghiệm của chúng tôi, máy quét này cố tình xác định cổng 21 là mở, điều này không đúng.

Ngoài trình quét cổng tích hợp, gói 3D Traceroute còn có các tiện ích tích hợp khác, tuy nhiên, khá chuẩn và không liên quan đến chủ đề máy quét mạng. Nhìn chung, mặc dù tiện ích này miễn phí nhưng rõ ràng nó thua kém so với các máy quét mạng khác.

Thường xuyên trên các diễn đàn, và không chỉ ở đó, câu hỏi được đặt ra - “Tôi đang bị quét! Tôi nên làm gì?" Nguyên nhân của vấn đề này là do các mô-đun phát hiện tấn công mà các nhà phát triển tường lửa cá nhân tích hợp vào sản phẩm của họ. Hiện tượng này nói chung nguy hiểm đến mức nào, kẻ tấn công đang cố gắng đạt được điều gì và đã có một cuộc tấn công thực sự xảy ra chưa? Để hiểu điều này, trước tiên chúng ta hãy cố gắng hiểu cổng là gì, quá trình quét các cổng này là gì và cách hệ thống được xâm nhập qua mạng.

Cảnh báo tới độc giả: Các tác giả biết rằng tài liệu này không bao gồm tất cả các loại mối đe dọa mạng có thể xảy ra. Tài liệu này hướng đến những người dùng gia đình đang lo ngại về những cảnh báo nghiêm trọng mà Bác Kaspersky tốt bụng (hoặc Norton, hoặc bất kỳ ai khác, tùy thuộc vào sản phẩm được sử dụng) vui lòng cung cấp cho họ. Hãy nhớ rằng các mối đe dọa mạng không chỉ giới hạn ở những mối đe dọa được mô tả ở đây.

Đầu tiên, cổng là gì? Cổng là một trường trong gói tcp hoặc udp dùng để xác định ứng dụng nhận (và người gửi, có hai trường này trong gói) của gói.

Định dạng gói dữ liệu giao thức TCP:

Định dạng gói dữ liệu giao thức UDP:

Ứng dụng hoạt động với mạng như thế nào? Ứng dụng yêu cầu hệ điều hành tạo một ổ cắm. Hệ điều hành đăng ký ứng dụng nào đang liên hệ với nó với yêu cầu này và tạo thành một ràng buộc của ứng dụng với ổ cắm - nó phân bổ một cổng. Cổng này được sử dụng để trao đổi thông tin qua các giao thức mạng và tất cả thông tin nhận được từ mạng cho một cổng có số này sau đó sẽ được truyền đến ứng dụng mong muốn.

Có một cuộc tấn công? Một câu hỏi thường gặp khác có dạng như sau: “Tại sao, khi tôi kết nối với máy chủ FTP, tường lửa lại phàn nàn về việc bị máy chủ FTP quét?” Một ví dụ điển hình về dương tính giả. Hãy xem giao thức FTP hoạt động như thế nào. Giao thức FTP không sử dụng một kết nối mà là hai kết nối - một trong số đó là điều khiển, kết nối thứ hai truyền dữ liệu trực tiếp. (Điều khiển) đầu tiên được mở bởi máy khách - nó kết nối với cổng 21 của máy chủ. Kết nối thứ hai phụ thuộc vào chế độ hoạt động của máy khách. Nếu máy khách đang ở chế độ hoạt động thì nó sẽ chuyển đến máy chủ số cổng mà máy chủ sẽ kết nối để mở kết nối dữ liệu. Ở chế độ thụ động, máy chủ sẽ cho máy khách biết máy khách nên kết nối vào cổng nào để mở kết nối dữ liệu.

Như sau mô tả này, ở chế độ hoạt động, máy chủ FTP sẽ mở kết nối tới máy khách. Tường lửa, và nhiều trong số chúng nổi tiếng là hoang tưởng, có thể phản ứng với điều này như một nỗ lực tấn công.

Hãy tóm tắt lại: Tấn công mạng trong hầu hết các trường hợp là tấn công vào một số dịch vụ có thể truy cập mạng trên máy tính của bạn. Nếu không có dịch vụ như vậy, bạn không phải lo lắng ai đó sẽ “hack” bạn. Trong trường hợp này, bạn nên cảnh giác với các mối đe dọa khác - vi-rút, phần mềm độc hại (chương trình không mong muốn) và các ảnh hưởng nội bộ khác. Các khuyến nghị phòng ngừa là tiêu chuẩn và được mô tả nhiều lần. Cài đặt phần mềm chống vi-rút, cập nhật thường xuyên, thường xuyên cài đặt các bản cập nhật hệ điều hành, không chạy các chương trình mà bạn không biết, v.v. Nhưng ngay cả trong trường hợp này, việc có tường lửa cá nhân trên máy tính có thể giúp bạn trong trường hợp các bản cập nhật hệ điều hành hoặc phần mềm chống vi-rút chưa thể chặn các mối đe dọa mới. Chỉ cần luôn đọc kỹ chính xác những gì chương trình này hoặc chương trình kia cung cấp cho bạn và cố gắng hiểu liệu hành động này có thực sự cần phải được thực hiện hay không.

Chúng tôi muốn lưu ý rằng theo mặc định, trong cài đặt của hệ thống Windows để làm việc với các ứng dụng trên mạng cục bộ, có các dịch vụ “máy chủ” mở cho quyền truy cập bên ngoài, nghĩa là những dịch vụ có thể được truy cập từ một máy tính khác. Vì vậy, bạn không nên tắt tường lửa tích hợp sẵn hoặc bỏ qua việc cài đặt các sản phẩm của bên thứ ba có chức năng tương tự.

Các ấn phẩm liên quan: