ポートスキャンとは ネットワークスペシャリスト
ポートスキャンとは
どこの穴があいているか調べる行為。ハッキングに使われる。ポートスキャンはサーバーなどのネットワーク機器に対して、接続できるサービスを探り、解放されているポート番号を調べる行為。
サーバやネットワーク機器の各ポートに対し通信をし、戻ってきたリアクションから、ポートの開閉をはじめ、サービスやバージョンなどを特定する。
応答が返ってこなかった場合は、フィルタリング(破棄)されたとみる。
これができることによって、かなり攻撃しやすくなる。
ポートスキャンの種類
TCPスキャン
3ハンドシェイクと言って1回のやり取りのために、3回通信を行うので、ログ(足跡)が残りやすい。UDPスキャン
UDPスキャンではUDPで待ち受けているサービスの状態を判断するために行う。ポートにUDPパケットを送信し、オープンであれば、何も返らず、クローズなら"ICMP port unreachable"が返ってくる。
SYNスキャン
SYNパケットを標的のポートに送信します。TCPスキャンと同じく対象サーバがオープン(サービスが起動)ならSYN+ACKパケット、クローズならRST+ACKパケットが返ってきますRSTパケットとは、TCPで接続を中断・拒否する際に送られるパケット。
FINスキャン
FINスキャンを送信する方法。スキャンされた対象サーバのポートがオープンなら対象のサーバは、接続の中断・拒否を意味するRSTを返します。クリスマスツリーポートスキャン
標的となるポートにFIN、緊急確認を意味するURG、PUSHパケットを送信する方法。
当初は全てのフラグ(URG、ACK、PSH、RST、SYN、FIN)を立てていため、たくさんのフラグが立っていることから、クリスマスツリーを想像して名付けられた。
NULLスキャン
何のフラグも立てないパケットを送信する方法。対象サーバがオープンなら何も返ってきません。クローズならRSTパケットが返ってきます対策
不正侵入検査システム(IDS)を導入するのが有効的。IDSは例えると「索敵スキルありの騎士」= 検知も防御もできる(山中いの的な存在)
IPSは単に「騎士」
IDSの検知方法には、シグニチャ型とアノマリ型がある。 シグニチャ型 異常なアクセスのパターンを登録しておく方法。 アノマリ型 正常なパターンを登録しておく。パターンに大きく外れるパケットは異常とみなす。 ファイヤーウォールは、「どこから送られてきたのか」チェックすることに対して、IDSは「中身をチェックする」ことができる。
作成者 ozaki yutaka