ポートスキャンとは
「ポートスキャン」とは、攻撃者がスキャン対象の稼働サービス、あるいは、そのサービスのバージョンやOSなどを特定する目的で行う調査手法のことである。
一方でシステム管理者も、不要なサービスが外部からスキャン可能になってしまっていないか確認するためにポートスキャンを行う。
ポートスキャンによって、以下のような情報を得ることができる。
- 開いているポート番号
- 閉じているポート番号
- ファイアウォールによってフィルタリングされているポートの情報
- ポートが開いているのであれば、そのポートで稼働しているサービス(HTTPやFTPなど)に関する情報
- OSに関する情報
- 開いているポートのサービスに関する情報(バージョンやフィンガープリントなど)
手法はいくつかある
代表的なもの
SYNスキャン
これは最もよく使われる手法の一つであり、こちらからRSTパケットを送信して、3-way Handshakeを強制的に中断する。コネクションを確立しないため、「ハーフコネクトスキャン」「ステルススキャン」とも呼ばれる。このスキャン手法では、コネクションが確立されないため、リモートサーバにログが残らない。その上、「ポートが開いているか」(open)、「ポートが閉じているか」(close)、「ファイアウォールなどによって弾かれているのか」(filtered)が明確に結果として得られる。
TCPスキャン
コネクションを擁立してスキャンする手法。ログが残る
引用
https://www.atmarkit.co.jp/ait/articles/0401/01/news049.html
コメントを残す