什麼是連接埠掃描？

什麼是連接埠掃描？這個過程類似於竊賊穿過你的鄰居，檢查每棟房子的每一扇門和窗戶，看看哪些是開著的，哪些是鎖著的。

TCP（傳輸控制協定）和 UDP（用戶資料封包協定）是構成TCP/IP 協定族的兩個協議，通常用於 Internet 上的通訊。每個協定都有從 0 到 65535 的可用端口，因此實際上有超過 65,000 個門需要鎖定。

連接埠掃描如何運作？

連接埠掃描軟體在最基本的狀態下，會依序向每個連接埠上的目標電腦發送連線要求，並記錄哪些連接埠已回應或顯示為開放狀態，以便進行更深入的探測。

端口掃描類似於竊賊穿過您的鄰居，檢查每棟房子的每一扇門和窗戶，看看哪些是開著的，哪些是鎖著的。

如果連接埠掃描是出於惡意，則入侵者通常希望不被發現。您可以設定網路安全應用程序，以便在管理員偵測到來自單一主機的多個連接埠類型的連接請求時向管理員發出警報。

為了解決這個問題，入侵者可以在Strobe或Stealth模式下執行連接埠掃描。 Strobe 將連接埠限制為較小的目標集，而不是掃描整個 65536 個連接埠。隱形技術使用減慢掃描過程等技術。透過長時間掃描端口，可以降低目標觸發警報的可能性。

透過設定 TCP 標誌或發送不同類型的 TCP 封包，連接埠掃描可以產生不同的結果或以不同的方式定位開放連接埠。

SYN 掃描告訴連接埠掃描器哪些連接埠正在偵聽，哪些連接埠沒有偵聽，取決於產生的回應類型。 FIN 掃描將從關閉的連接埠產生回應，但那些打開並偵聽的連接埠不會回應，因此連接埠掃描器將能夠確定哪些連接埠開啟，哪些連接埠未開啟。

有幾種不同的方法可以執行實際的連接埠掃描，以及隱藏連接埠掃描來源的技巧。

如何監控連接埠掃描

可以監視網路上的連接埠掃描。與資訊安全中的大多數事情一樣，關鍵在於在效能和網路安全之間找到適當的平衡。

您可以透過記錄向未開啟或未偵聽的連接埠發送 SYN 封包的任何嘗試來監視 SYN 掃描。但是，不要在每次嘗試發生時都收到警報，而是決定觸發警報的閾值。例如，如果在一定分鐘內有超過 10 個 SYN 封包嘗試到達非偵聽端口，則會觸發警報。

您可以設計過濾器和陷阱來偵測各種連接埠掃描方法，監視 FIN 封包中的峰值，或從 IP 來源到一系列連接埠或 IP 位址的異常數量的連接嘗試。

為了幫助確保您的網路受到保護且安全，您可能需要執行自己的連接埠掃描。這裡需要注意的一個要點是，在開始這個專案之前，請確保您已獲得所有權力機構的批准，否則您將發現自己站在了法律的對立面。

NMap 讓您可以控制掃描過程的幾乎每個方面

要獲得最準確的結果，請使用非公司設備和不同的 ISP 從遠端位置執行連接埠掃描。使用 Nmap 等軟體，您可以掃描一系列IP 位址和端口，以了解攻擊者在掃描您的網路端口時會看到什麼。特別是，NMap 允許您控制掃描過程的幾乎每個方面，並執行不同類型的連接埠掃描以滿足您的需求。

一旦透過網路連接埠掃描找出哪些連接埠開啟時會有回應，您就可以開始確定這些連接埠是否正在從網路外部存取。

如果不需要它們，您應該停用或阻止它們。如果需要，您可以開始研究您的網路對哪些類型的漏洞和漏洞開放，透過存取這些連接埠並套用適當的修補程式或緩解措施來盡可能保護網路。