ポートスキャナでネットワークハッキングを防止する - ダミー

ポートスキャナは、ネットワークをスキャンして何が生きているのかを確認し、ネットワーク上の何が何であるかを示すことによって、ハッキングを防ぎます。ポートスキャナは、ネットワークのレイアウト方法の基本的なビューを提供します。重大なセキュリティ上の脆弱性を引き起こす可能性のある不正なホストやアプリケーション、ネットワークホストの設定ミスを特定するのに役立ちます。

ネットワーク全体のセキュリティを評価するための秘訣は、ポートスキャンの結果を解釈することです。開いているポートで誤検出が発生する可能性があり、深く掘り下げなければならない可能性があります。たとえば、UDP（User Datagram Protocol）スキャンはTCP（Transmission Control Protocol）スキャンよりも信頼性が低く、多くのアプリケーションがランダムな着信UDP要求にどのように応答するかを知らないため、誤検出がしばしば発生します。

<！ - 1 - >

QualysGuardなどの豊富な機能を備えたスキャナは、ポートを識別して、実行していることを1つのステップで確認することができます。

重要な教訓は、重要なホスト以外のものをスキャンする必要があることです。また、さまざまなユーティリティで同じテストを実行して、異なる結果が得られるかどうかを確認してください。異なるツールを使用してテストを実行した後に結果が一致しない場合は、問題をさらに詳しく調べることができます。

<！ - 2 - >

可能であれば、スキャナーが検出した各ネットワークホスト上の65,534 TCPポートをすべてスキャンする必要があります。問題のポートが見つかった場合は、そのアプリケーションが既知で認可されていることを示す文書を探してください。 65、534 UDPポートもすべてスキャンするのは悪い考えではありません。

Ping sweeping

すべてのネットワークサブネットとホストのpingスイープは、どのホストがネットワーク上で生きているかを知る良い方法です。 pingスイープ は、インターネット制御メッセージプロトコル（ICMP）パケットを使用して一連のアドレスにpingを実行するときです。

<！ - 3 - >

数多くのNmapコマンドラインオプションが存在します。これは、基本スキャンだけが必要な場合には圧倒的な可能性があります。それにもかかわらず、コマンドラインでnmapを入力すると、利用可能なすべてのオプションが表示されます。

Nmap pingスイープには、次のコマンドラインオプションを使用できます。

• -sPは、Nmapにpingスキャンを実行するよう指示します。

• -nは名前解決を行わないようにNmapに指示します。

• -T 4は、Nmapに積極的な（高速な）スキャンを実行するように指示します。 192。 168。1. 1-254はNmapに192.168.1。xサブネット全体をスキャンするように指示します。

• ポートスキャンツールの使用

ほとんどのポートスキャナは3つのステップで動作します。

ポートスキャナは、スキャンするように設定したホストまたはホスト範囲にTCP SYN要求を送信します。

1. 一部のポートスキャナは、TCPポートスキャンを開始する前に、使用可能なホストを判断するためにpingスイープを実行します。

   ポートスキャナは、使用可能なホストからの応答を待ちます。

2. ポートスキャナは、これらの利用可能なホストを調べて、利用可能なホストがどれであるかを調べるために、スキャンするポートに基づいて最大65,534の可能なTCPポートとUDPポートを調べます。

3. ネットワークを介してアクティブで到達可能なホスト

検出されたホストのネットワークアドレス

• ホスト

• サービスまたはアプリケーション

• ポートスキャンは、ネットワーク上の有効なホストに関する次の情報を提供します。 > running ネットワークの一般的な掃引を実行した後、特定のホストを詳細に調べることができます。

Nmap

利用可能なホストと開いているポートに関する一般的な考えを得た後、ポートが実際に開いていることを確認し、偽陽性を返さないことを確認できます。 Nmapを使用すると、次の追加スキャンを実行できます。

Connect：

• この基本的なTCPスキャンは、ホスト上の開いているTCPポートをすべて検索します。このスキャンを使用して、何が実行されているかを確認し、侵入防止システム（IPS）、ファイアウォール、またはその他のログデバイスが接続を記録するかどうかを判断できます。 UDPスキャン：

• この基本的なUDPスキャンは、ホスト上の開いているUDPポートをすべて検索します。このスキャンを使用して、実行中のものを確認し、IPS、ファイアウォール、またはその他のログデバイスが接続を記録するかどうかを判断できます。 SYNステルス：

• このスキャンは、ホストとの半開TCP接続を作成し、おそらくIPSシステムを回避してログを記録します。これは、IPS、ファイアウォール、およびその他のロギングデバイスのテストに適したスキャンです。 FINステルス、Xmasツリー、およびNull：

• これらのスキャンを使用すると、不思議な形のパケットをネットワークホストに送信して、それらの反応を確認することができます。これらのスキャンは、各パケットのTCPヘッダーのフラグの周りで変更されます。これにより、各ホストが弱いTCP / IP実装や適用する必要のあるパッチを指摘する方法をテストできます。 独自のDoS攻撃を作成し、アプリケーションやシステム全体をクラッシュさせる可能性があります。残念ながら、弱いTCP / IPスタックを持つホストを持っている場合、DoS攻撃をスキャンから防ぐための良い方法はありません。この可能性を減らすために、スキャンを実行する際のNmapのタイミングオプションを遅くしてください。

コマンドラインファンなら、NMapWin画面の左下隅にコマンドラインパラメータが表示されます。これは、あなたが何をしたいのかを知っていて、コマンドラインヘルプでは十分ではない場合に役立ちます。

NetScanTools Pro

NetScanTools Proは、ユニークなIPアドレス数、NetBIOS名、MACアドレスなど、一般的なネットワーク情報を収集するための非常に優れたオールインワンの商用ツールです。また、さまざまなホストのオペレーティングシステムに指紋を印刷するためのきれいな機能も備えています。

pingスイープとポートスキャンの対策

内部ホストにアクセスする必要のあるトラフィックのみを有効にします。できるだけホストから保護することをお勧めします。これは、HTTPの場合はTCP 80、ping要求の場合はICMPなどの標準ポートに適用されます。

時間の経過とともに潜在的な悪意のある動作を探すようにファイアウォールを構成し、1分または100回の連続したping（ICMP）要求での10ポートスキャンなど、特定のしきい値に達すると攻撃を遮断するルールを設定します。

ほとんどのファイアウォールやIPSは、そのようなスキャンを検出し、リアルタイムで切断することができます。