Сканер портов и безопасность компьютера
О том, что существует некая программа сканер портов, знает каждый пользователь компьютера. Что интересно, отчасти эти познания объясняются жесткой конкурентной борьбой среди создателей программных решений для защиты от вирусов. Так, ранние версии антивирусов от лаборатории Касперского за сеанс работы с глобальной сетью выводили до десятка сообщений о сканировании портов компьютера (в зависимости от интенсивности работы с сетевыми ресурсами). Во всплывающем окне сообщалось, что была произведена попытка сканирования и опасный узел заблокирован. Вполне понятно, что пользователи, видя такое количество предупреждений об успешном «обезвреживании», делали вывод о высокой эффективности защитной программы. К счастью, сейчас такой способ привлечения внимания себя почти изжил, а многие защитные функции работают в фоновом режиме.
Прежде чем рассмотреть, что такое сканер портов, определимся с некоторыми другими понятиями. Порт – это участок кода сетевого пакета данных (TCP или UDP), в котором идентифицируются целевое и инициирующее приложения. Представим, что какая-либо программа создает запрос операционной системе на доступ в сеть. Система осуществляет согласование инициирующей программы и номера порта, который за ней закрепляется. Далее выполняется отправка пакетов данных. При приеме ответа на порт, система перенаправляет данные нужной программе. Что это дает? Внешний сканер портов выполняет проверку сетевого интерфейса компьютера путем посылки запросов. Это определенное «прощупывание» интерфейса, своеобразное тестирование. Данная операция позволяет посмотреть открытые порты, составить их карту. Очевидно, что при внешнем запросе на закрытый порт никакого ответа не будет, а вот при нахождении активного можно выяснить, какие именно программы ожидают прихода данных. После определения портов и приложений, начинается сама атака. Разумеется, если позволяют обстоятельства: брандмауэр настроен некорректно, порты открыты и пр. Отметим, что само сканирование для компьютера безопасно: если вы уверены в крепости дверей дома, то пусть стучат, сколько хотят.
Какие же атаки могут выполняться подобным способом? Так как известно приложение-получатель, можно сформировать пакет таким образом, чтобы при его обработке произошел сбой в работе сетевого сервиса (программа-демон, обрабатывающая сетевые запросы), причем с заранее известными последствиями. Например, можно добиться полного отказа от обработки входящих пакетов данных (DoS атака) или даже, используя существующие уязвимости, получить доступ к удаленному выполнению команд на целевом компьютере. Часто на специализированных форумах открыто предлагаются услуги по временному выводу из строя какого-либо сетевого ресурса (сайта). Как это происходит и при чем здесь сканер портов? Очень просто. Определившись с программой-сервисом, на целевой сервер направляется огромный поток бессмысленной (мусорной) информации. В результате при больших серверных мощностях происходит существенная задержка в обработке полезных запросов, которые сначала необходимо «выловить» из потока засоряющих данных. Однако, как правило, во избежание перегрузки атакуемый сервис временно приостанавливается администратором. Данный способ называется флуд.
Повысить безопасность компьютера можно путем установки специальных защитных программ – файрволов. Они скрывают от стандартных способов сканирования порты, делая компьютер, фактически, невидимым. Пренебрегать их установкой не стоит. Кстати, файрвол входит в состав антивирусных пакетов класса Internet Security.
Проверить открытые порты проще всего с помощью специальных сайтов-детекторов. Достаточно зайти на него и нажать кнопку «Сканировать порты» (название может отличаться). Один из известных – это русский 2ip.