IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

Portscanningar

För att komma åt en tjänst som erbjuds av en dator måste man känna till IP-adress, protokoll (TCP eller UDP) och tjänstens portnummer. Många tjänster har standardiserade portnummer medan man i andra fall först måste fråga en s.k. portmappningstjänst på datorn för att få reda på vilken port tjänsten använder.

En del program, som erbjuder en tjänst på Internet, har säkerhetshål som gör det möjligt att ta kontrollen över datorn. En individ som vill uttnyttja en sådan sårbarhet kan då börja med att försöka koppla upp sig mot tjänstens portnummer på ett stort antal datorer för att se vilka som svarar. Han kan sedan omedelbart eller i ett senare skede försöka sig på en attack mot dessa. Självspridande maskar kan göra samma sak fast helt automatiskt. Internet fullkomligt sjuder av portscanningar, kopplar man upp en dator så dröjer det inte många minuter innan den blir anropad. För att kunna upptäcka anropen behöver man någon form av nätverksövervakningsprogram eller en personlig mjukvarubrandvägg på datorn.

För att veta vilka portscanningar man behöver oroa sig för måste man känna till vilka tjänster datorn erbjuder och vilka portar dessa använder. Har man ingen mailserver på sin dator kan man ex.vis lugnt ignorera anrop till port 25. För att se vilka portar som är öppna kan man i de flesta fall ge kommandot

netstat -an

Beroende på operativsystem och distribution aktiveras vissa tjänster som default och man bör slå av de som man inte behöver.


IT-säkerhetshandboken
http://www.susec.sunet.se