Vad är en Port Scan Attack på en dator?

Internet-nätverk använder konceptet med portar för att skilja olika program eller tjänster som ligger på samma IP-adress. En dator kan till exempel köra en webbserver och en FTP-server samtidigt med portarna 80 respektive 21. En portavsökningsattack inträffar när en dator genomsöker portarna på en annan dator i försök att avgöra vilka tjänster som körs på fjärrdatorn för att utnyttjas.

Linjär portavsökning

En linjär portavsökning innebär att varje port i ett system skannas. Internetprotokollportar använder ett 16-bitars numreringssystem, vilket innebär att totalt 65 536 portar kan finnas på en enda IP-adress. En skanning av linjeport skannar alla dessa portar för att se vilka som är öppna, stängda eller dolda.

Slumpmässig portavsökning

En slumpmässig portavsökning liknar konceptet en linjär portavsökning. Men med en slumpmässig portavsökning skannas bara ett visst antal slumpmässiga portar istället för alla tillgängliga portnummer. Anledningen till detta är att påskynda genomsökningen, särskilt när angriparen skannar flera datorer i försök att hitta sårbarheter. Om någon av de skannade portarna visar sig vara öppen kommer en angripare att undersöka den där datorn.

Välkänd skanning av serviceport

Många tjänster körs på etablerade "välkända" portar, såsom portarna 25 och 110 för e-post, 21 för FTP och 80 för Internet. En portavsökning som endast riktar sig mot välkända portar liknar i koncept en slumpmässig portavsökning, förutom att portnumren är fördefinierade istället för slumpmässiga. Liksom en slumpmässig hamnsökning, om någon av de testade portarna visar sig vara öppna, kommer angriparen att undersöka datorn vidare.

Rekognosering

Efter att den angivna metoden för portavsökning har slutförts, visar angriparen resultaten och undersöker vidare de datorer som innehåller öppna portar. När en port visar sig vara öppen betyder det att någon typ av tjänst körs på den porten, och det finns en chans att angriparen kan utnyttja den för att få fjärråtkomst till datorsystemet. Med en korrekt åtkomstutnyttjande på plats kan en angripare potentiellt få kontroll över datorsystemet.