Hva er et portskanangrep på en datamaskin?

Internett-nettverk bruker begrepet porter for å skille mellom forskjellige programmer eller tjenester som ligger på samme IP-adresse. For eksempel kan en datamaskin kjøre en webserver og en FTP-server samtidig ved å bruke henholdsvis porter 80 og 21. Et portskanningsangrep oppstår når en datamaskin skanner portene til en annen datamaskin i forsøk på å finne ut hvilke tjenester som kjører på den eksterne datamaskinen for utnyttelse.

Lineær portskanning

En lineær portskanning innebærer skanning av hver port på et system. Internett-protokollporter bruker et 16-biters nummereringssystem, noe som betyr at totalt 65 536 porter kan eksistere på en enkelt IP-adresse. En ruteportskanning vil skanne alle disse portene for å se hvilke som er åpne, lukkede eller skjulte.

Tilfeldig portskanning

En tilfeldig portskanning er i konseptet lik en lineær portskanning. Imidlertid, med en tilfeldig portskanning, blir bare et spesifisert antall tilfeldige porter skannet i stedet for alle tilgjengelige portnumre. Årsaken til dette er å øke hastigheten på skanningen, spesielt når angriperen skanner flere datamaskiner i et forsøk på å finne sårbarheter. Hvis en av de skannede portene blir funnet å være åpen, vil en angriper undersøke datamaskinen nærmere ved en tilfeldig portskanning.

Velkjent skanning av serviceport

Mange tjenester kjører på etablerte "velkjente" porter, for eksempel porter 25 og 110 for e-post, 21 for FTP og 80 for Internett. En havneskanning som bare retter seg mot kjente porter er i konseptet lik en tilfeldig havneskanning, bortsett fra at portnumrene er forhåndsdefinerte i stedet for tilfeldige. I likhet med en tilfeldig portskanning, vil angriperen undersøke datamaskinen nærmere hvis noen av de testede portene blir funnet å være åpne.

Rekognosering

Etter at den angitte metoden for portskanning er fullført, ser angriperen resultatene og undersøker videre datamaskiner som inneholder åpne porter. Når en port er åpen, betyr det at en eller annen type tjeneste kjører på den porten, og det er en sjanse for at angriperen kan utnytte den for å få ekstern tilgang til datasystemet. Med en riktig tilgangsutnyttelse på plass, kan en angriper potensielt få kontroll over datasystemet.