Сканер портів і безпеку комп'ютера

Про те, що існує якась програма сканер портів, знає кожен користувач комп`ютера. Що цікаво, почасти ці пізнання пояснюються жорсткої конкурентної боротьбою серед творців програмних рішень для захисту від вірусів. Так, ранні версії антивірусів від лабораторії Касперського за сеанс роботи з глобальною мережею виводили до десятка повідомлень про сканування портів комп`ютера (залежно від інтенсивності роботи з мережевими ресурсами). Під спливаючому вікні повідомлялося, що була проведена спроба сканування і небезпечний вузол заблокований. Цілком зрозуміло, що користувачі, бачачи таку кількість попереджень про успішне «знешкодженні», робили висновок про високу ефективність захисної програми. На щастя, зараз такий спосіб залучення уваги себе майже вичерпав, а багато захисні функції працюють у фоновому режимі.

Перш ніж розглянути, що таке сканер портів, визначимося з деякими іншими поняттями. Порт - це ділянка коду мережевого пакету даних (TCP або UDP), в якому ідентифікуються цільове та ініційовано програми. Уявімо, що будь-яка програма створює запит операційній системі на доступ в мережу. Система здійснює погодження ініціації програми і номера порту, який за нею закріплюється. Далі виконується відправка пакетів даних. При прийомі відповіді на порт, система перенаправляє дані потрібній програмі. Що це дає? Зовнішній сканер портів виконує перевірку мережевого інтерфейсу комп`ютера шляхом посилки запитів. Це певне «промацування» інтерфейсу, своєрідне тестування. Дана операція дозволяє подивитися відкриті порти, скласти їх карту. Очевидно, що при зовнішньому запиті на закритий порт ніякої відповіді не буде, а от при знаходженні активного можна з`ясувати, які саме програми очікують приходу даних. Після визначення портів і додатків, починається сама атака. Зрозуміло, якщо дозволяють обставини: брандмауер налаштований некоректно, порти відкриті та ін. Відзначимо, що саме сканування для комп`ютера безпечно: якщо ви впевнені у фортеці дверей будинку, то нехай стукають, скільки хочуть.

Які ж атаки можуть виконуватися подібним способом? Так як відомо додаток-одержувач, можна сформувати пакет таким чином, щоб при його обробці стався збій у роботі мережевого сервісу (програма-демон, обробна мережеві запити), причому із заздалегідь відомими наслідками. Наприклад, можна домогтися повної відмови від обробки вхідних пакетів даних (DoS атака) або навіть, використовуючи існуючі уразливості, отримати доступ до віддаленого виконання команд на цільовому комп`ютері. Часто на спеціалізованих форумах відкрито пропонуються послуги з тимчасового виведення з ладу якого-небудь мережевого ресурсу (сайту). Як це відбувається і при чому тут сканер портів? Дуже просто. Визначившись з програмою-сервісом, на цільовий сервер направляється величезний потік безглуздою (сміттєвої) інформації. В результаті при великих серверних потужностях відбувається суттєва затримка в обробці корисних запитів, які спочатку необхідно «виловити» з потоку засмічують даних. Однак, як правило, щоб уникнути перевантаження атакується сервіс тимчасово призупиняється адміністратором. Даний спосіб називається флуд.

Підвищити безпеку комп`ютера можна шляхом установки спеціальних захисних програм - файрволов. Вони приховують від стандартних способів сканування порти, роблячи комп`ютер, фактично, невидимим. Нехтувати їх установкою не варто. До речі, файрвол входить до складу антивірусних пакетів класу Internet Security.

Перевірити відкриті порти найпростіше за допомогою спеціальних сайтів-детекторів. Досить зайти на нього і натиснути кнопку «Сканувати порти» (назва може відрізнятися). Один з відомих - це російський 2ip.