Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
Saldırı Tekniği

Liman Taraması

Port taramaları ağ bakımının önemli bir parçasıdır, ancak saldırganlar tarafından açık kapılar bulmak için kullanılabilir. İşte port taramalarını tespit etmek ve durdurmak için bilmeniz gerekenler.

Tanım
Nasıl çalışır
Saldırganlar bunu neden kullanır?
Algılama
Sıkça Sorulan Sorular
Tanım

Port taraması nedir?

Port taraması, saldırganların ağınızdaki güvenlik açıklarını tespit etmek için kullandıkları bir tekniktir. Port tarayıcılar ağ güvenliği için değerli uygulamalara sahip olsa da - açık portları, güvenlik açıklarını veya ağa bağlı gereksiz cihazları ortaya çıkarmak için - kötü niyetli aktörler bunları giriş için zayıf noktalar bulmak için kullanabilir. Saldırganlar bunları ayrıca güvenlik duvarları, VPN, proxy sunucuları ve diğer güvenlik cihazlarını çalıştırıp çalıştırmadığınızı görmek için de kullanabilir.

Nasıl çalışır

Port tarama tekniği nasıl çalışır?

Port taramaları, bir dizi ağ portuna paketler göndererek ve hangi portların açık, kapalı veya filtrelenmiş olduğunu belirlemek için yanıtları analiz ederek çalışır. Bu portlar, yetersiz güvenlikleri halinde saldırganların potansiyel olarak yararlanabileceği farklı hizmetlere (HTTP, FTP veya SSH gibi) karşılık gelir.

Liman tarama işlemi
Saldırganlar bunu neden kullanır?

Saldırganlar neden port tarama tekniklerini kullanır?

Saldırganlar genellikle açık hizmetleri veya yanlış yapılandırılmış sistemleri belirlemek için keşif aşamasında bağlantı noktası taramalarını kullanır. Örneğin, 22 (SSH) veya 3389 (RDP) gibi açık portların taranması, uzaktan erişilebilen ve istismar için hedef haline gelebilecek yönetim hizmetlerini ortaya çıkarabilir.

Bir saldırgan hangi portların açık olduğunu öğrendiğinde, bu portlar üzerinde çalışan hizmetlerdeki güvenlik açıklarını bulmak için odak noktasını daraltabilir. Örneğin, tarama araçları bir web sunucusunun 80 numaralı bağlantı noktasında çalıştığını ortaya çıkarırsa, saldırganlar yanlış yapılandırmalar, yamalanmamış yazılımlar veya zayıf kimlik bilgileri için bunu araştırabilir.

Port tarama saldırılarının türleri

Saldırganlar, gereken gizlilik seviyesine bağlı olarak çeşitli port tarama teknikleri kullanırlar:

  • TCP bağlantı taraması: Bu tarama, bir bağlantı noktasının açık olup olmadığını belirlemek için tam bir üç yönlü el sıkışmayı tamamlamaya çalışır. Sistemin bağlantı kayıtlarında günlükler bıraktığı için tespit edilmesi en kolay bağlantı noktası tarama saldırısıdır. Bu teknik, SYNC taraması bir seçenek olmadığında kullanılır.
  • SYN taramaları: SYN taraması veya yarı açık tarama, TCP bağlantı taramasından daha gizlidir. Port tarama aracı bağlantıyı başlatmak için bir paket gönderir ancak el sıkışmayı tamamlamaz, böylece tespit edilme şansını azaltır. Bu yöntem, tam bir TCP bağlantısı kurmadan veya alarm sinyali vermeden açık portları ortaya çıkarır.
  • FIN, Xmas ve NULL Taramaları: Bunlar güvenlik duvarlarından veya saldırı tespit sistemlerinden (IDS) kaçmak için kullanılan tekniklerdir. Belirli bir portu araştırmak için alışılmadık bayrak kombinasyonlarına sahip paketler göndermeyi içerirler. İşletim sistemine bağlı olarak, açık veya kapalı bir bağlantı noktası farklı tepki verebilir ve saldırganların ağı ustaca haritalandırmasına olanak tanır.
  • UDP Taraması: UDP (Kullanıcı Datagram Protokolü) bağlantısız olduğundan, tarama bir porta UDP paketi göndermeyi ve yanıtı ya da yanıtsızlığı analiz etmeyi içerir. Bu tür bir tarama TCP taramalarından daha yavaş ve daha zordur çünkü UDP yanıtları daha az tahmin edilebilirdir ve birçok hizmet bir istek düzgün bir şekilde oluşturulmadıkça yanıt vermez.
  • FTP sıçrama taramaları: Bu taktik, bir paketi sektirmek ve gönderenin konumunu gizlemek için bir FTP sunucusu kullanır ve saldırganın tespit edilmemesini sağlar.
  • ‍Pingtaramaları: Bu türde, saldırganlar bir ağ veri paketinin bir IP adresine ne kadar kolay ulaşabileceğini test etmek için bir ping kullanır.

Burada çeşitli port tarama tekniklerini ve bunların gizlilik seviyelerini özetleyen bir tablo bulunmaktadır:

Tarama Tekniği Amaç Gizlilik Seviyesi
TCP Bağlantı Taraması Açık olup olmadığını kontrol etmek için hedef port ile tam bir TCP bağlantısı kurmaya çalışır. Düşük (kolayca tespit edilebilir)
TCP SYN Taraması (Yarı Açık Tarama) TCP el sıkışmasını tamamlamadan açık bağlantı noktalarını belirlemek için SYN paketleri gönderir. Orta (daha az tespit edilebilir)
UDP Taraması Hedef sistemdeki açık UDP bağlantı noktalarını bulmak için UDP paketleri gönderir. Düşük (güvenilmez ve tespit edilebilir olabilir)
FIN, Xmas ve Null Taramaları Güvenlik duvarlarını atlamak ve açık bağlantı noktalarını tespit etmek için alışılmadık bayrak kombinasyonlarına sahip paketler gönderir. Yüksek (gizli)
Ping Süpürme Bir ağdaki etkin ana bilgisayarları keşfetmek için ICMP Yankı istekleri gönderir. Düşük (kolayca tespit edilebilir)
Sürüm Tarama Yazılım sürümlerini belirlemek ve güvenlik açıklarını tespit etmek için hizmetleri araştırır. Düşük ila Orta
Boşta Tarama Tarama yapmak için saldırganın IP adresini gizleyen bir "zombi" ana bilgisayar kullanır. Çok Yüksek (son derece gizli)

Port Tarama Saldırganlar İçin Neden Caziptir?

  • İnvaziv Olmayan ve Gizli: Bazı tarama teknikleri, güvenlik duvarları ve IDS tarafından tespit edilmekten kaçınmak için tasarlanmıştır.
  • Düşük Giriş Engeli: Çok sayıda ücretsiz araç ve komut dosyası mevcuttur, bu da port taramasını farklı beceri seviyelerine sahip saldırganlar için erişilebilir hale getirir.
  • Saldırıları Planlamak için Gerekli: Etkili saldırı stratejileri oluşturmak için gereken kritik bilgileri sağlar.
  • Anonimlik: Boşta tarama gibi teknikler saldırganların anonim kalmasına yardımcı olur.
Platform Tespitleri

Port taramaları nasıl tespit edilir

Siber güvenlik ekiplerinin port tarama saldırılarını önlemesinin bir yolu da port taramalarını düzenli olarak kendilerinin yapmasıdır. Bu, halihazırda açıkta olan potansiyel hedef sistemleri belirlemenize yardımcı olarak gereksiz portları kapatmanıza ve güvenlik açıklarını yamanıza olanak tanır. Güçlü bir güvenlik duvarı da yetkisiz erişimi önlemek için gereklidir.

Ancak burada durmamak önemlidir. Maruziyetinizi azaltmak kritik önem taşırken, dahili hizmetlerin saldırı altında olduğunu tespit etmek için bir yola ihtiyacınız vardır. Örneğin, Vectra AI'un şüpheli port tarama tespiti, bir saldırgan bir veya daha fazla IP adresinde aktif olarak port bağlantılarını denediğinde savunucuları uyarmak için özel olarak tasarlanmıştır.

Algılama
Şüpheli Port Taraması
Daha fazla bilgi edinin
Algılama
Giden Liman Taraması
Daha fazla bilgi edinin
Algılama
Şüpheli Liman Taraması
Daha fazla bilgi edinin
Algılama
SMB Hesap Taraması
Daha fazla bilgi edinin
Algılama
Dahili Darknet Taraması
Daha fazla bilgi edinin
Algılama
Kerberos Hesap Taraması
Daha fazla bilgi edinin
Tüm tespitleri keşfedin

Gelişmiş tespitlerle ağınızı koruyun

Vectra AI ağ trafiğini sürekli olarak izlemek ve saldırıları ilerlemelerinin erken aşamalarında tespit etmek için bağlantı noktası taraması da dahil olmak üzere güçlü yapay zeka odaklı tespitler kullanır. Bu tespitler birlikte, ilgili MITRE ATT&CK tekniklerinin %90'ını kapsamaktadır.

Platformu Keşfedin
Daha fazla bilgi edinin

Sıkça Sorulan Sorular