概要

ポートスキャンについて調べてまとめてみた。

ポートスキャンとは

ネットワークに繋がっているポートのうちどれが通信可能になっているかを見つけることである。

ポートとは

データがネットワークからパソコンに入るときのドア。
機器の接続口。

ポートは0~65535番まで存在する。

ウェルノウンポート番号

0~1023番をウェルノウンポート番号といい、IANAによって管理されている。すでに振り分けられている。

レジスタードポート番号

1024~49151番はレジスタードポート番号といい、これもIANAで管理されている。IANAが登録を受け付けている。

その他のポート番号

ユーザが自由に使用できるのは49152~65535番

有名なポート番号

こちらによくまとまっている。
http://e-words.jp/p/r-wellknownports.html

ポートスキャンの種類

TCPスキャン(Vanilla Scan)

3ウェイハンドシェイクを確立することで、ポートの状態を確認する。
コネクションが確立するため、ターゲットサーバのログに記録される。

SYNスキャン

コネクションを確立しないでポートの稼働状態を確認する方法。
ステルススキャン、ハーフオープンスキャンともいう。ターゲットホストのログには記録されない。応答結果がSYN/ACKのときは、アクティブ状態で、RST/ACKの時は非アクティブ状態であると判断する。

FINスキャン

FINパケットを送り、RSTパケットを受信したらアクティブ、何も受信しなかったら非アクティブと判断する。

クリスマスツリースキャン(XMAS scan)

FIN,PSH,URG(緊急確認)のフラグを全てONにしたパケットを送信し、RSTを受信したら非アクティブ、何も受信しなかったらアクティブとする。

NULLスキャン

全てのフラグをOFFにしたパケットを送信し、RSTパケットを受信したら非アクティブ、何も受信しなかったらアクティブとする。

UDPスキャン

ターゲットにUDPパケットを送信し、応答なしならアクティブ、ICMP port unreachableを受信すると非アクティブと判断する。

FTP Bounce Scann

FTPサーバを中継して指定のホストへアタックやポートスキャンを実施する手法。現状ではほぼ利用不可能。

実際にしてみる

MACのネットワークユーティリティでポートスキャン

今回はnmapを使わずに、macのネットワークユーティリティでポートスキャンしてみます。
ローカルアドレス127.0.0.1を入力し、scanを押す。

次にLINEとSkypeを開けて再度ポートスキャンしてみる。

10400ポートが開いたので、ターミナルを分かる起動し、lsofコマンドで調べてみる。

% lsof -i:10400
COMMAND   PID   USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
LINE    19523 Tomoki   11u  IPv4 0xa2dbb30cec7973c1      0t0  TCP localhost:10400 (LISTEN)

10400ポートをLINEが使っているということが分かる。

kill <PID>と入力すると対象のプロセスが入力する。

% kill 19523

LINEが終了した。

ポートスキャンの対策

予防、防止

• 不要なサービスを停止し、ポートを閉じる。
• OS、アプリケーションを最新化し、パッチを適用する。
• 脆弱性検査を実施し、セキュリティホールが塞がれているかを確認する。
• ファイアウォールなどで不要なポートへのアクセスを遮断する。

検知,追跡

1ポートごとにある程度の時間を空け、ポート番号をランダムに選択して行われると検知は非常に困難。

• ネットワーク監視型IDS,ホスト監視型IDS,IPSの利用
• ファイアウォールのログから検知する。
• ホストのログから検知する。