Некоторые реализации IP-протокола обладают одним  неприятным свойством: пакеты RST отправляются обратно для всех сканируемых  портов независимо от того, находятся  ли соответствующие порты в режиме ожидания запросов. Учитывайте этот факт при использовании описанных  методов. Однако в то же время сканирование подключением и сканирование с использованием сообщений SYN могут применяться для  всех узлов.

Сканеры портов

     Сканеры портов опрашивают набор портов TCP или UDP и смотрят, не ответит ли приложение. Если ответ получен, это означает, что некоторое приложение слушает порт с данным номером. Имеется 65535 возможных портов TCP и столько же - UDP. Сканеры можно сконфигурировать для опроса всех возможных портов или только общеупотребительных (с номерами, меньшими 1024). Веская причина для полного сканирования состоит в том, что сетевые троянские и другие вредоносные программы, чтобы избежать обнаружения, нередко используют нетрадиционные порты с номерами в верхней части диапазона. Кроме того, некоторые производители не следуют стандартам должным образом и подключают серверные приложения к портам с большими номерами. Полное сканирование охватывает все возможные места, где могут скрываться приложения, хотя и требует больше времени и пожирает несколько большую часть полосы пропускания.

     Цели  применения сканеров портов могут быть различны, перечислим некоторые из них:

• Инвентаризация сети: определение точного числа работающих машин, определение IP-адреса всех серверов. Сканеры портов предлагают быстрый способ просмотра диапазона адресов и выявления все активных машин в этом сегменте.

• Оптимизация сети/сервера: сканер портов показывает все сервисы, запущенные в данный момент на машине. Если это серверная машина, то, вероятно, таковых окажется много, и, возможно, не все из них на самом деле нужны для выполнения основной функции машины, чем больше сервисов, тем меньше безопасности.
• Выявление шпионского ПО, "троянских" программ и сетевых "червей":

1) Активные  web - серверы нередко подцепляют на web-сайтах небольшие программы, которые пытаются отслеживать их поведение или выдавать на их компьютеры специальную всплывающую рекламу. Эти программы называются шпионским ПО, потому что нередко они пытаются следить за активностью пользователя и могут передавать собранные данные обратно на центральный сервер. Эти программы обычно не опасны, но их чрезмерное количество может существенно снизить производительность труда пользователя.

2) Другим  классом сетевого программного  обеспечения, которое определенно  не хотелось бы иметь в сети, являются "троянские" программы.  Обычно их присутствие можно  обнаружить только по открытому  сетевому порту, а с помощью  антивирусных средств выявить  их крайне сложно. Оказавшись  внутри компьютера, большинство  "троянских" программ пытаются  вступить во внешние коммуникации, чтобы дать своему создателю  или отправителю знать, что  они заразили машину на этих  портах. В таблице 2 перечислены наиболее распространенные "троянские" программы и их номера портов.  
 
 
 
 
 

Таблица 2.

Порты, используемые наиболее распространенными

троянскими  программами

 

3) Сетевые  "черви" - особо мерзкий тип  вирусов. Зачастую они снабжены  сетевыми средствами и открывают  порты на компьютере - "хозяине". Сетевые "черви" используют  сеть для распространения и  поэтому иногда выявляются при  сканировании портов. Сканирование  портов может стать ценным  подспорьем в защите от этого  вида вирусов.

  Сканеры портов предстают во множестве видов  от очень сложных с множеством различных возможностей до имеющих минимальную функциональность. На самом деле, возможно вручную выполнить функции сканера портов, применяя Telnet и проверяя порты по очереди, например:

telnet 192.168.0.1:80

     Данная  команда использует Telnet для соединения с машиной. Вместо того чтобы получить от Telnet обычное приглашение, которое выдается при подключении к его подразумеваемому порту, вы соединитесь с web-сервером, если таковой запущен на машине. После нажатия клавиши ввода вы получите первый ответ web-сервера навигатору. Вы увидите информацию из заголовка HTTP, которая обычно обрабатывается навигатором и скрыта от пользователя. Так же можно поступить с любым открытым портом, но вы не всегда получите в ответ нечто вразумительное. По сути, именно это и делают сканеры портов: они пытаются установить соединение и ожидают ответ.

     Если  сеть сканируют с не очень похвальными  намерениями, это предоставляет  злоумышленникам ценную информацию. Знание операционной системы и ее версии может послужить хорошей  отправной точкой для определения  того, какие зацепки и средства проникновения стоит испробовать. Это очень веская причина для  регулярного сканирования своей  сети, чтобы определить, какие порты  в системе оставлены открытыми. Затем следует их просмотреть, закрыть  неиспользуемые порты и защитить те, которые должны оставаться открытыми. 

 

Обзор сравниваемых сканеров портов

ZENMAP v5.00

   Nmap - один из наиболее доступных бесплатных сканеров портов. NMAP является свободной утилитой, предназначенной для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем. Nmap хорошо документирован и найти информацию в интернете о настройке и работе сканера не составляет большого труда.

   Графический клиент Nmap предоставляет весьма простой интерфейс, пример такого графического интерфейса Zenmap v5 приведен на рисунке 2.

   Рис. 2. Сканер Zenmap v5.00

NetScanTools v4.22.

   NetScanTools - утилита сканирования с графическим интерфейсом (рис.3). Представляет собой коммерческий продукт, но также предоставляется 30-дневная пробная версия, профессиональную версию программы необходимо покупать. NetScanTools работает под операционной систомой Windows.

 
Рис. 3. Сканер NetScanTools v4.22.

     NetScanTools представляет собой приятный графический интерфейс к большому количеству свободно-доступных утилит командной строки: Ping, Traceroute, Finger, whois/fwhois и другие им подобные. Он также взаимодействует с несколькими вышедшими из употребления службами типа echo, daytime, quote и chargen, которые не слишком широко распространены в сети Internet. Многие из экранных закладок интерфейса NetScanTools, такие как TimeSync, Database Tests, WinSock Info, NetBios   Info  и IDENT Server,

используются  для просмотра информации или  управления сервисами на хосте, где  выполняется программа. Вдобавок, программа  может запускать telnet-, FTP- и HTTP-приложения. Программа представляет собой централизованное средство для получения информации о сети и управления сканированием.

SuperScan v4.00

     SuperScan представляет собой еще одно средство сканирования с графическим интерфейсом пользователя. В отличие от NetScanTools, это свободно распространяемая программа.

     Внешний вид пользовательского интерфейса SuperScan (рис.4.) похож на интерфейс закладки NetScanTools. У программы нет таких дополнительных возможностей, как у NetScanTools, и они ограничены установкой TCP-сеанса, но имеются основные средства, требующиеся для сканирования. В сеансе поиска имен и хостов можно осуществлять поиск имен хостов и IP-адресов. Также возможно получить информацию о своей системе и имеющихся сетевых интерфейсах.

Рис.4. Сканер SuperScan v4.00

Angry IP Scanner 3.0 Beta 3

     Angry IP Scanner – бесплатный IP сканер портов. Сканер работает под всеми основными операционными системами. Позволяет сканировать любой диапазон IP, имеет возможность сканирования на открытые порты, сохранение "любимых" диапазонов и загрузка их. К дополнительным возможностям утилиты Angry IP Scanner можно отнести сбор NetBIOS-информации (имя компьютера, имя рабочей группы и имя пользователя ПК). Результаты сканирования можно сохранять в различных форматах (CSV, TXT, HTML, XML). Высокая скорость сканирования утилиты Angry IP Scanner достигается за счет использования множества параллельных потоков. Так, по умолчанию используются 64 потока, но это количество можно увеличить для достижения еще большей производительности.

     Результат сканирования Angry IP Scanner приведен на рисунке 5.

Рис.5. Сканер Angry IP Scanner 3.0 Beta 3

Advanced Port Scanner v1.3

     Утилита Advanced Port Scanner (рис.6.) позволяет собирать информацию об IP-адресах узлов, об их сетевых именах и открытых портах. Advanced Port Scanner базируется на платформе Windows и распространяется бесплатно. Возможности по настройке этого сканера заключаются в задании диапазона сканируемых IP-адресов и портов. Кроме того, имеется возможность задавать количество одновременно выполняемых потоков и управлять временем ожидания ответа на запрос. Отметим, что данный сканер является очень скоростным и позволяет собрать детальную информацию о сети в кратчайшие сроки.

Рис.6. Сканер Advanced Port Scanner v1.3. 
 

 

WS PingPro 2.30

Сканер WS PingPro 2.30 позволяет определить список всех IP-адресов, по которым имеются подключенные к сети узлы, а также выяснить их сетевые имена. Кроме того, сканер WS PingPro 2.30 определяет запущенные на компьютере службы и дает возможность просканировать порты сетевого компьютера в заданном диапазоне (в демо-версии программы данная возможность заблокирована).

Для настройки  на различные по производительности сети сканер WS PingPro 2.30 позволяет задавать время, в течение которого ожидается ответ от хоста сети (по умолчанию — 300 мс).  

Рис. 7. Утилита WS PingPro 2.30

Отметим, что  сетевой сканер — это всего одна из возможностей пакета WS PingPro 2.30. В дополнение к сетевому сканеру пакет WS PingPro 2.30 предоставляет в распоряжение пользователя такие утилиты, как SNMP tool, WinNet, Time tool, Throughput, Info tool, и др.

Так, утилита SNMP tool позволяет получить информацию о сетевом узле (как правило, речь идет о коммутаторах и маршрутизаторах), поддерживающем протокол SNMP.

Утилита WinNet позволяет просканировать локальную сеть и отобразить NetBEUI-имена всех узлов сети, доменов и разделяемых ресурсов.

Утилита Time tool синхронизирует время локального компьютера с временем ближайшего сервера времени.

Throughput — эта небольшая диагностическая утилита, позволяющая протестировать скорость соединения пользователя с удаленным узлом сети.