Những cổng tồn tại. Cách kiểm tra kết nối TCP (mở cổng trên máy tính Windows)
Giao thức TCP/IP là nền tảng của Internet, qua đó các máy tính gửi và nhận thông tin từ mọi nơi trên thế giới, bất kể vị trí địa lý. Truy cập máy tính TCP/IP ở một quốc gia khác cũng dễ dàng như truy cập máy tính ở phòng bên cạnh. Quy trình truy cập giống hệt nhau trong cả hai trường hợp, mặc dù việc kết nối với máy ở quốc gia khác có thể mất thêm vài mili giây. Kết quả là công dân của bất kỳ quốc gia nào cũng có thể dễ dàng mua sắm trên Amazon.com; tuy nhiên, do sự gần gũi về mặt logic, nhiệm vụ bảo mật thông tin trở nên phức tạp hơn: bất kỳ chủ sở hữu máy tính nào được kết nối Internet ở bất kỳ đâu trên thế giới đều có thể cố gắng thiết lập kết nối trái phép với bất kỳ máy nào khác.
Các chuyên gia CNTT có trách nhiệm cài đặt tường lửa và hệ thống để phát hiện lưu lượng truy cập đáng ngờ. Phân tích gói lấy thông tin về địa chỉ IP nguồn và đích cũng như các cổng mạng liên quan. Giá trị của cổng mạng không thua kém địa chỉ IP; đây là những tiêu chí quan trọng nhất để phân biệt lưu lượng truy cập hữu ích với các tin nhắn giả mạo và có hại vào và ra khỏi mạng. Hầu hết lưu lượng truy cập mạng Internet bao gồm các gói TCP và UDP, chứa thông tin về các cổng mạng mà máy tính sử dụng để định tuyến lưu lượng truy cập từ ứng dụng này sang ứng dụng khác. Điều kiện tiên quyết đối với tường lửa và bảo mật mạng là quản trị viên phải hiểu rõ về cách máy tính và thiết bị mạng sử dụng các cổng này.
Nghiên cứu cảng
Kiến thức về các nguyên tắc cơ bản hoạt động của cổng mạng sẽ hữu ích cho bất kỳ quản trị viên hệ thống nào. Với sự hiểu biết cơ bản về cổng TCP và UDP, quản trị viên có thể chẩn đoán độc lập một ứng dụng mạng bị lỗi hoặc bảo vệ máy tính truy cập Internet mà không cần gọi cho kỹ sư mạng hoặc nhà tư vấn tường lửa.
Phần đầu tiên của bài viết này (gồm hai phần) mô tả các khái niệm cơ bản cần thiết để thảo luận về cổng mạng. Vị trí của các cổng mạng trong mô hình mạng chung và vai trò của các cổng mạng và tường lửa NAT (Dịch địa chỉ mạng) trong các kết nối máy tính của công ty với Internet sẽ được hiển thị. Cuối cùng, các điểm mạng sẽ được chỉ định tại đó thuận tiện cho việc xác định và lọc lưu lượng mạng trên các cổng mạng tương ứng. Phần 2 xem xét một số cổng được sử dụng bởi các ứng dụng và hệ điều hành phổ biến và giới thiệu một số công cụ tìm cổng mạng mở.
Tổng quan ngắn gọn về các giao thức mạng
TCP/IP là một tập hợp các giao thức mạng thông qua đó các máy tính giao tiếp với nhau. Bộ TCP/IP không gì khác hơn là những đoạn mã phần mềm được cài đặt trong hệ điều hành cung cấp quyền truy cập vào các giao thức này. TCP/IP là một tiêu chuẩn, vì vậy các ứng dụng TCP/IP trên máy Windows phải giao tiếp thành công với cùng một ứng dụng trên máy UNIX. Trong những ngày đầu của mạng, vào năm 1983, các kỹ sư đã phát triển mô hình kết nối OSI bảy lớp để mô tả các quy trình mạng máy tính, từ cáp đến ứng dụng. Mô hình OSI bao gồm các lớp vật lý, liên kết dữ liệu, mạng, truyền tải, phiên và ứng dụng. Các quản trị viên thường xuyên làm việc với Internet và TCP/IP chủ yếu xử lý các lớp mạng, truyền tải và ứng dụng, nhưng để chẩn đoán thành công cần phải biết các lớp khác. Mặc dù mô hình OSI đã cũ nhưng nó vẫn được nhiều chuyên gia sử dụng. Ví dụ: khi một kỹ sư mạng nói về các thiết bị chuyển mạch Lớp 1 hoặc Lớp 2 hoặc nhà cung cấp tường lửa nói về điều khiển Lớp 7, họ đang nói về các lớp được xác định trong mô hình OSI.
Bài viết này nói về các cổng mạng nằm ở lớp 4 - vận chuyển. Trong bộ TCP/IP, các cổng này được sử dụng bởi các giao thức TCP và UDP. Nhưng trước khi đi vào chi tiết về một lớp, bạn cần làm quen ngắn gọn với bảy lớp OSI và vai trò của chúng trong các mạng TCP/IP hiện đại.
Lớp 1 và 2: Cáp vật lý và địa chỉ MAC
Lớp 1, vật lý, đại diện cho môi trường thực tế mà tín hiệu truyền qua, chẳng hạn như cáp đồng, cáp quang hoặc tín hiệu vô tuyến (trong trường hợp Wi-Fi). Lớp 2, liên kết dữ liệu, mô tả định dạng dữ liệu để truyền trong môi trường vật lý. Ở Lớp 2, các gói được tổ chức thành các khung và các chức năng xử lý lỗi và kiểm soát luồng cơ bản có thể được thực hiện. Tiêu chuẩn IEEE 802.3, hay còn gọi là Ethernet, là tiêu chuẩn Lớp 2 phổ biến nhất cho các mạng cục bộ hiện đại. Bộ chuyển mạch mạng thông thường là thiết bị Lớp 2, qua đó nhiều máy tính kết nối vật lý và trao đổi dữ liệu với nhau. Đôi khi, hai máy tính không thể kết nối với nhau mặc dù địa chỉ IP có vẻ chính xác; sự cố có thể do lỗi trong bộ nhớ đệm Giao thức phân giải địa chỉ (ARP), cho thấy có sự cố ở Lớp 2. Ngoài ra, một số điểm truy cập không dây (Access) Point, AP) cung cấp tính năng lọc địa chỉ MAC, chỉ cho phép các bộ điều hợp mạng có địa chỉ MAC cụ thể kết nối với AP không dây.
Lớp 3 và 4: Địa chỉ IP và cổng mạng
Lớp 3, mạng, hỗ trợ định tuyến. Trong TCP/IP, việc định tuyến được thực hiện trong IP. Địa chỉ IP của gói thuộc Lớp 3. Bộ định tuyến mạng là thiết bị Lớp 3 phân tích địa chỉ IP gói và chuyển tiếp gói đến bộ định tuyến khác hoặc phân phối gói đến máy tính cục bộ. Nếu phát hiện một gói đáng ngờ trên mạng, bước đầu tiên là kiểm tra địa chỉ IP của gói để xác định nguồn gốc của gói.
Cùng với lớp mạng, lớp 4 (vận chuyển) là điểm khởi đầu tốt để chẩn đoán các sự cố mạng. Trên Internet, Lớp 4 chứa các giao thức TCP và UDP cũng như thông tin về cổng mạng liên kết gói với một ứng dụng cụ thể. Ngăn xếp mạng của máy tính sử dụng liên kết cổng mạng TCP hoặc UDP với một ứng dụng để hướng lưu lượng mạng đến ứng dụng đó. Ví dụ: cổng TCP 80 được liên kết với ứng dụng máy chủ Web. Việc ánh xạ các cổng tới các ứng dụng này được gọi là một dịch vụ.
TCP và UDP là khác nhau. Về cơ bản, TCP cung cấp kết nối đáng tin cậy để liên lạc giữa hai ứng dụng. Trước khi bắt đầu giao tiếp, hai ứng dụng phải thiết lập kết nối bằng cách hoàn tất quy trình bắt tay TCP ba bước. UDP là một cách tiếp cận dễ quên hơn. Độ tin cậy của kết nối đối với các ứng dụng TCP được đảm bảo bởi giao thức, nhưng ứng dụng UDP phải kiểm tra độc lập độ tin cậy của kết nối.
Cổng mạng là một số từ 1 đến 65535 được chỉ định và biết cho cả hai ứng dụng mà giao tiếp đang được thiết lập. Ví dụ: một máy khách thường gửi yêu cầu không được mã hóa đến máy chủ tại địa chỉ đích trên cổng TCP 80. Thông thường, máy tính sẽ gửi yêu cầu DNS đến máy chủ DNS tại địa chỉ đích trên cổng UDP 53. Máy khách và máy chủ có một nguồn và địa chỉ IP đích cũng như cổng mạng nguồn và đích, có thể khác nhau. Trong lịch sử, tất cả các số cổng dưới 1024 được gọi là "số cổng đã biết" và được đăng ký với Cơ quan cấp số hiệu Internet (IANA). Trên một số hệ điều hành, chỉ các tiến trình hệ thống mới có thể sử dụng các cổng trong phạm vi này. Ngoài ra, các tổ chức có thể đăng ký cổng 1024 đến 49151 với IANA để liên kết cổng với ứng dụng của họ. Việc đăng ký này cung cấp một cấu trúc giúp tránh xung đột giữa các ứng dụng cố gắng sử dụng cùng một số cổng. Tuy nhiên, nói chung, không có gì ngăn cản ứng dụng yêu cầu một cổng cụ thể miễn là nó không bị chiếm bởi một chương trình đang hoạt động khác.
Về mặt lịch sử, máy chủ có thể lắng nghe trên các cổng được đánh số thấp và máy khách có thể bắt đầu kết nối trên cổng được đánh số cao (trên 1024). Ví dụ: máy khách Web có thể mở kết nối đến máy chủ Web trên cổng đích 80, nhưng liên kết một cổng nguồn được chọn ngẫu nhiên, chẳng hạn như cổng TCP 1025. Khi phản hồi máy khách, máy chủ Web sẽ gửi gói tin tới máy khách bằng nguồn cổng 80 và cổng đích 1025. Sự kết hợp giữa địa chỉ IP và cổng được gọi là ổ cắm và phải là duy nhất trên máy tính. Vì lý do này, khi thiết lập một máy chủ Web có hai trang Web riêng biệt trên cùng một máy tính, bạn phải sử dụng nhiều địa chỉ IP, chẳng hạn như address1:80 và address2:80 hoặc định cấu hình máy chủ Web để nghe trên nhiều cổng mạng, chẳng hạn như như địa chỉ 1:80 và địa chỉ 1:81. Một số máy chủ Web cho phép nhiều trang Web chạy trên một cổng bằng cách yêu cầu tiêu đề máy chủ, nhưng chức năng này thực sự được thực hiện bởi ứng dụng máy chủ Web ở lớp 7 cao hơn.
Khi khả năng kết nối mạng trở nên khả dụng trong các hệ điều hành và ứng dụng, các lập trình viên bắt đầu sử dụng số cổng cao hơn 1024 mà không đăng ký tất cả các ứng dụng với IANA. Bằng cách tìm kiếm trên Internet bất kỳ cổng mạng nào, bạn thường có thể nhanh chóng tìm thấy thông tin về các ứng dụng sử dụng cổng đó. Hoặc bạn có thể tìm kiếm Cổng nổi tiếng và tìm nhiều trang web liệt kê các cổng phổ biến nhất.
Khi chặn các ứng dụng mạng trên máy tính hoặc khắc phục lỗi tường lửa, phần lớn công việc đến từ việc phân loại và lọc địa chỉ IP Lớp 3 cũng như các giao thức và cổng mạng Lớp 4. Để nhanh chóng phân biệt giữa lưu lượng truy cập hợp pháp và đáng ngờ, bạn nên học cách nhận biết 20 lưu lượng truy cập nhiều nhất. được sử dụng rộng rãi trong các cổng TCP và UDP của doanh nghiệp.
Học cách nhận biết và làm quen với các cổng mạng không chỉ dừng lại ở việc gán các quy tắc tường lửa. Ví dụ: một số bản vá bảo mật của Microsoft mô tả cách đóng cổng NetBIOS. Biện pháp này giúp hạn chế sự lây lan của sâu xâm nhập qua các lỗ hổng trong hệ điều hành. Biết cách thức và vị trí đóng các cổng này có thể giúp giảm rủi ro bảo mật mạng trong khi chuẩn bị triển khai bản vá quan trọng.
Và thẳng tới cấp 7
Ngày nay, hiếm khi nghe về Lớp 5 (phiên) và Lớp 6 (bản trình bày), nhưng Lớp 7 (ứng dụng) là một chủ đề nóng giữa các nhà cung cấp tường lửa. Xu hướng mới nhất trong tường lửa mạng là kiểm tra Lớp 7, mô tả các kỹ thuật được sử dụng để phân tích cách ứng dụng tương tác với các giao thức mạng. Bằng cách phân tích tải trọng của gói mạng, tường lửa có thể xác định xem lưu lượng truy cập đi qua nó có hợp pháp hay không. Ví dụ: một yêu cầu Web chứa câu lệnh GET bên trong gói Lớp 4 (cổng TCP 80). Nếu tường lửa của bạn có chức năng Lớp 7, bạn có thể xác minh rằng câu lệnh GET là chính xác. Một ví dụ khác là nhiều chương trình chia sẻ tệp ngang hàng (P2P) có thể chiếm quyền điều khiển cổng 80. Kết quả là người ngoài có thể định cấu hình chương trình để sử dụng cổng mà họ chọn - rất có thể là cổng nên được để mở trong một tường lửa nhất định. Nếu nhân viên của công ty cần truy cập Internet, cổng 80 phải được mở, nhưng để phân biệt lưu lượng Web hợp pháp với lưu lượng P2P do ai đó hướng đến cổng 80, tường lửa phải cung cấp khả năng kiểm soát lớp 7.
Vai trò của tường lửa
Sau khi mô tả các lớp mạng, chúng ta có thể chuyển sang mô tả cơ chế giao tiếp giữa các ứng dụng mạng thông qua tường lửa, đặc biệt chú ý đến các cổng mạng được sử dụng. Trong ví dụ sau, trình duyệt máy khách giao tiếp với máy chủ Web ở phía bên kia tường lửa, giống như nhân viên công ty giao tiếp với máy chủ Web trên Internet.
Hầu hết tường lửa Internet hoạt động ở lớp 3 và 4 để kiểm tra và sau đó cho phép hoặc chặn lưu lượng mạng đến và đi. Nói chung, quản trị viên viết danh sách kiểm soát truy cập (ACL) xác định địa chỉ IP và cổng mạng của lưu lượng truy cập bị chặn hoặc cho phép. Ví dụ: để truy cập Web, bạn cần khởi chạy trình duyệt và trỏ nó vào trang Web. Máy tính bắt đầu kết nối đi bằng cách gửi một chuỗi các gói IP bao gồm thông tin tiêu đề và tải trọng. Tiêu đề chứa thông tin tuyến đường và các thuộc tính gói khác. Các quy tắc tường lửa thường được viết có lưu ý đến thông tin định tuyến và thường chứa địa chỉ IP nguồn và đích (lớp 3) và giao thức gói (lớp 4). Khi duyệt Web, địa chỉ IP đích thuộc về máy chủ Web, giao thức và cổng đích (theo mặc định) là TCP 80. Địa chỉ IP nguồn là địa chỉ của máy tính mà người dùng truy cập Web và nguồn cổng thường là số được gán động, lớn hơn 1024. Thông tin hữu ích không phụ thuộc vào tiêu đề và được tạo bởi ứng dụng người dùng; trong trường hợp này, đó là yêu cầu máy chủ Web cung cấp một trang Web.
Tường lửa phân tích lưu lượng đi và cho phép nó theo các quy tắc tường lửa. Nhiều công ty cho phép tất cả lưu lượng truy cập đi từ mạng của họ. Cách tiếp cận này đơn giản hóa việc cấu hình và triển khai nhưng làm giảm tính bảo mật do thiếu quyền kiểm soát dữ liệu rời khỏi mạng. Ví dụ: một con ngựa Trojan có thể lây nhiễm một máy tính trên mạng doanh nghiệp và gửi thông tin từ máy tính đó đến một máy tính khác trên Internet. Sẽ rất hợp lý khi tạo danh sách kiểm soát truy cập để chặn những thông tin gửi đi như vậy.
Ngược lại với cách tiếp cận gửi đi của nhiều tường lửa, hầu hết đều được cấu hình để chặn lưu lượng truy cập đến. Thông thường, tường lửa chỉ cho phép lưu lượng truy cập đến trong hai trường hợp. Đầu tiên là lưu lượng truy cập đến để đáp ứng yêu cầu gửi đi do người dùng gửi trước đó. Ví dụ: nếu bạn trỏ trình duyệt của mình tới địa chỉ của một trang Web, tường lửa sẽ cho phép mã HTML và các thành phần khác của trang Web truy cập vào mạng. Trường hợp thứ hai là lưu trữ một dịch vụ nội bộ trên Internet, chẳng hạn như máy chủ thư, trang Web hoặc FTP. Lưu trữ một dịch vụ như vậy thường được gọi là dịch cổng hoặc xuất bản máy chủ. Việc triển khai dịch cổng khác nhau giữa các nhà cung cấp tường lửa, nhưng nguyên tắc cơ bản là giống nhau. Quản trị viên xác định một dịch vụ, chẳng hạn như cổng TCP 80 cho máy chủ Web và máy chủ phụ trợ để lưu trữ dịch vụ. Nếu các gói đi vào tường lửa thông qua giao diện bên ngoài tương ứng với dịch vụ này thì cơ chế dịch cổng sẽ chuyển tiếp chúng đến một máy tính cụ thể trên mạng ẩn sau tường lửa. Dịch cổng được sử dụng cùng với dịch vụ NAT được mô tả bên dưới.
NAT cơ bản
Với NAT, nhiều máy tính trong một công ty có thể chia sẻ một không gian địa chỉ IP công cộng nhỏ. Máy chủ DHCP của công ty có thể phân bổ địa chỉ IP từ một trong các khối địa chỉ IP riêng tư, không thể định tuyến trên Internet được xác định trong Yêu cầu Nhận xét (RFC) số 1918. Nhiều công ty cũng có thể chia sẻ cùng một không gian địa chỉ IP riêng tư. Ví dụ về mạng con IP riêng là 10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16. Bộ định tuyến Internet chặn mọi gói được chuyển đến một trong các địa chỉ riêng. NAT là một tính năng tường lửa cho phép các công ty sử dụng địa chỉ IP riêng để liên lạc với các máy tính khác trên Internet. Tường lửa biết cách chuyển lưu lượng truy cập đến và đi thành địa chỉ IP nội bộ riêng tư để mọi máy tính đều có thể truy cập Internet.
Trong bộ lễ phục. Hình 1 thể hiện kết nối NAT cơ bản giữa máy khách và máy chủ Web. Trong Giai đoạn 1, lưu lượng truy cập hướng tới Internet từ một máy tính trong mạng công ty sẽ đi vào giao diện bên trong của tường lửa. Tường lửa nhận gói tin và tạo một mục trong bảng theo dõi kết nối, bảng này kiểm soát việc dịch địa chỉ. Sau đó, tường lửa sẽ thay thế địa chỉ nguồn riêng của gói bằng địa chỉ IP công cộng bên ngoài của chính nó và gửi gói đến đích trên Internet (bước 2). Máy tính đích nhận gói và chuyển tiếp phản hồi tới tường lửa (bước 3). Khi tường lửa nhận được gói này, nó sẽ tra cứu nguồn của gói gốc trong bảng theo dõi kết nối, thay thế địa chỉ IP đích bằng địa chỉ IP riêng tương ứng và chuyển tiếp gói đến máy tính nguồn (bước 4). Vì tường lửa gửi các gói thay mặt cho tất cả các máy tính nội bộ nên nó thay đổi cổng mạng nguồn và thông tin này được lưu trữ trong bảng theo dõi kết nối của tường lửa. Điều này là cần thiết để đảm bảo rằng các ổ cắm đi vẫn là duy nhất.
Điều quan trọng là phải hiểu cách NAT hoạt động vì NAT thay đổi địa chỉ IP và cổng mạng của gói lưu lượng. Sự hiểu biết này giúp chẩn đoán lỗi. Ví dụ: có thể hiểu rõ tại sao cùng một lưu lượng truy cập có thể có các địa chỉ IP và cổng mạng khác nhau trên giao diện bên ngoài và bên trong của tường lửa.
Đầu tiên là nền móng, sau đó là kết cấu
Việc hiểu các nguyên tắc mạng cơ bản từ phía ứng dụng, tường lửa và cổng không chỉ dành cho các kỹ sư mạng. Ngày nay, hiếm khi tìm thấy một hệ thống máy tính không được kết nối với mạng và ngay cả quản trị viên hệ thống cũng có thể giải quyết vấn đề của họ dễ dàng hơn nhiều bằng cách hiểu ít nhất những điều cơ bản về cách sử dụng cổng mạng để giao tiếp các ứng dụng qua Internet.
Phần thứ hai của bài viết sẽ xem xét các công cụ phát hiện ứng dụng trên mạng bằng cách phân tích các cổng mạng liên quan. Để tìm các ứng dụng mở cổng nghe và có thể truy cập qua mạng, máy tính sẽ được thăm dò qua mạng (quét cổng) và cục bộ (quét máy chủ). Ngoài ra, bằng cách xem nhật ký tường lửa, bạn có thể kiểm tra lưu lượng mạng vượt qua ranh giới mạng và xem xét các cổng mạng khác nhau được ứng dụng Windows và UNIX sử dụng.
Một cổng trong mạng máy tính là điểm cuối của giao tiếp trong hệ điều hành. Thuật ngữ này cũng áp dụng cho các thiết bị phần cứng, nhưng trong phần mềm, nó đề cập đến một cấu trúc logic xác định một loại dịch vụ hoặc quy trình cụ thể. Một cổng luôn được liên kết với địa chỉ IP hoặc loại giao thức truyền thông của máy chủ. Nó hoàn thành việc gán địa chỉ phiên. Một cổng được xác định cho mỗi giao thức và địa chỉ bằng số 16 bit, còn được gọi là số cổng. Thông thường số cổng cụ thể được sử dụng để xác định các dịch vụ cụ thể. Trong số hàng nghìn số được liệt kê, 1.024 số đã biết được bảo vệ theo một thỏa thuận đặc biệt. Họ xác định các loại dịch vụ cụ thể trên máy chủ. Các giao thức chủ yếu sử dụng cổng được sử dụng để kiểm soát các tiến trình. Một ví dụ là Giao thức điều khiển truyền (TCP) hoặc Giao thức gói dữ liệu người dùng từ bộ giao thức Internet.
Nghĩa
Cổng TCP không cần thiết trên các liên kết điểm-điểm trực tiếp trong đó các máy tính ở mỗi đầu chỉ có thể chạy một chương trình tại một thời điểm. Nhu cầu về chúng nảy sinh sau khi những chiếc máy này hóa ra có khả năng thực hiện nhiều chương trình cùng một lúc. Họ thấy mình được kết nối với các mạng chuyển mạch gói hiện đại. Trong mô hình kiến trúc máy khách-máy chủ, các cổng, ứng dụng và máy khách mạng được kết nối để khởi tạo dịch vụ. Họ cung cấp dịch vụ ghép kênh sau khi trao đổi thông tin ban đầu được liên kết với số cổng. Nó được giải phóng bằng cách chuyển từng trường hợp phục vụ yêu cầu sang một đường dây chuyên dụng. Một kết nối được thực hiện đến một số cụ thể. Nhờ đó, khách hàng bổ sung có thể được phục vụ mà không phải chờ đợi.
Chi tiết
Các giao thức truyền dữ liệu UDP và TCP được sử dụng để chỉ ra số cổng đích và cổng nguồn trong tiêu đề phân đoạn của chúng. Số cổng là số 16 bit không dấu. Nó có thể nằm trong khoảng từ 0 đến 65535. Tuy nhiên, các cổng TCP không thể sử dụng số 0. Đối với UDP, cổng nguồn là không cần thiết. Giá trị bằng 0 nghĩa là không có nó. Quá trình này kết nối các kênh đầu vào hoặc đầu ra bằng giao thức truyền tải, số cổng và địa chỉ IP qua ổ cắm Internet. Quá trình này còn được gọi là ràng buộc. Nó cho phép nhận và truyền thông tin qua mạng. Phần mềm mạng của hệ điều hành được sử dụng để truyền dữ liệu đi từ tất cả các cổng ứng dụng tới mạng. Nó cũng chuyển tiếp các gói mạng đến bằng cách khớp số và địa chỉ IP. Chỉ một quy trình có thể được liên kết với một địa chỉ IP và kết hợp cổng cụ thể bằng cách sử dụng cùng một giao thức truyền tải. Sự cố ứng dụng, còn gọi là xung đột ứng dụng, xảy ra khi nhiều chương trình cố gắng giao tiếp với cùng số cổng trên cùng một địa chỉ IP bằng cùng một giao thức.
Chúng được sử dụng như thế nào?
Các ứng dụng triển khai dịch vụ chia sẻ thường sử dụng danh sách cổng UDP và TCP được đặt trước và đã biết đặc biệt để chấp nhận các yêu cầu dịch vụ máy khách. Quá trình này còn được gọi là lắng nghe. Nó liên quan đến việc nhận yêu cầu từ một cổng phổ biến và thiết lập cuộc trò chuyện trực tiếp giữa máy khách và máy chủ bằng cùng một số cổng cục bộ. Các khách hàng khác có thể tiếp tục kết nối. Điều này có thể thực hiện được vì kết nối TCP được xác định là một chuỗi bao gồm các cổng và địa chỉ cục bộ và từ xa. Các cổng UDP và TCP tiêu chuẩn có thể được xác định theo thỏa thuận dưới sự kiểm soát của IANA hoặc Cơ quan cấp số hiệu Internet. Thông thường, các dịch vụ mạng lõi, đáng chú ý nhất là World Wide Web, sử dụng số cổng nhỏ, dưới 1024. Trên nhiều hệ điều hành, các ứng dụng yêu cầu các đặc quyền đặc biệt để liên kết với chúng. Vì lý do này, chúng thường được coi là quan trọng đối với hoạt động của mạng IP. Mặt khác, máy khách cuối của kết nối có xu hướng sử dụng số lượng lớn hơn trong số chúng, được phân bổ để sử dụng trong thời gian ngắn. Vì lý do này, cái gọi là cổng phù du tồn tại.
Kết cấu
Các cổng TCP được mã hóa trong tiêu đề gói của gói truyền tải. Chúng có thể dễ dàng được giải thích không chỉ bởi các PC nhận và truyền mà còn bởi các thành phần khác của cơ sở hạ tầng mạng. Tường lửa nói riêng thường được cấu hình để phân biệt giữa các gói dựa trên số cổng đích và nguồn của chúng. Một ví dụ cổ điển về điều này là chuyển hướng. Cố gắng kết nối tuần tự với nhiều cổng trên cùng một máy tính còn được gọi là quét cổng. Các quy trình như vậy thường liên quan đến các lần thử lỗi cố ý hoặc thực tế là các quản trị viên mạng đang đặc biệt tìm kiếm các lỗ hổng có thể xảy ra để ngăn chặn các cuộc tấn công như vậy. Các hành động nhằm mở cổng TCP được ghi lại và điều khiển bằng máy tính. Kỹ thuật này sử dụng một số kết nối dự phòng để đảm bảo liên lạc với máy chủ không bị gián đoạn.
Ví dụ về việc sử dụng
Ví dụ chính trong đó các cổng UDP và TCP được sử dụng tích cực là hệ thống thư Internet. Máy chủ được sử dụng để làm việc với email. Nhìn chung nó cần hai dịch vụ. Dịch vụ đầu tiên được sử dụng để vận chuyển qua email và từ các máy chủ khác. Điều này đạt được bằng cách sử dụng Giao thức truyền thư đơn giản (SMTP). Ứng dụng dịch vụ SMTP thường lắng nghe trên cổng TCP số 25 để xử lý các yêu cầu đến. Một dịch vụ khác là POP hoặc IMAP. Chúng được yêu cầu đối với các ứng dụng email client trên máy của người dùng để nhận email từ máy chủ. Dịch vụ POP nghe số trên cổng TCP 110. Tất cả các dịch vụ trên có thể chạy trên cùng một máy chủ. Số cổng, khi điều này xảy ra, sẽ phân biệt dịch vụ được yêu cầu bởi thiết bị từ xa. Nếu số cổng nghe của máy chủ được xác định chính xác thì tham số này cho máy khách sẽ được xác định từ dải động. Trong một số trường hợp, máy khách và máy chủ riêng biệt sử dụng các cổng TCP cụ thể được chỉ định trong IANA. Một ví dụ điển hình là DHCP. Ở đây, máy khách trong mọi trường hợp đều sử dụng UDP 68 và máy chủ sử dụng UDP 67.
Cách sử dụng trong URL
Đôi khi số cổng được hiển thị rõ ràng trên Internet hoặc các bộ định vị tài nguyên thống nhất khác, chẳng hạn như URL. HTTP theo mặc định sử dụng cổng TCP 80 và HTTPS sử dụng cổng 443. Ngoài ra còn có các biến thể khác. Vì vậy, ví dụ: URL http://www.example.com:8080/path cho biết trình duyệt web đang kết nối với 8080 thay vì máy chủ HTTP.
Danh sách các cổng UDP và TCP
Như đã lưu ý trước đó, IANA hoặc Cơ quan quản lý số được chỉ định của InternetA, chịu trách nhiệm điều phối toàn cầu về DNS-Root, địa chỉ IP và các tài nguyên Giao thức Internet khác. Các quy trình này bao gồm việc đăng ký các cổng được sử dụng thường xuyên cho các dịch vụ Internet đã biết. Tất cả các số cổng được chia thành ba phạm vi: nổi tiếng, đã đăng ký và riêng tư hoặc động. Các cổng phổ biến là những cổng có số từ 0 đến 1023. Chúng còn được gọi là cổng hệ thống. Yêu cầu đối với các giá trị mới trong phạm vi này nghiêm ngặt hơn so với các đăng ký khác.
Ví dụ
Ví dụ về các cổng trong danh sách đã biết bao gồm:
- Cổng TCP 443 – HTTPS;
- 21 – Giao thức truyền tệp;
- 22- Vỏ an toàn;
- 25 – giao thức truyền thư đơn giản STMP;
- 53 – hệ thống tên miền DNS;
- 119 – Giao thức truyền tin tức mạng hoặc NNTP;
- 80 – Giao thức truyền siêu văn bản HTTP;
- 143 – Giao thức truy cập tin nhắn Internet;
- 123 – Giao thức thời gian mạng NTP;
- 161 - giao thức quản lý mạng đơn giản SNMP.
Các cổng đã đăng ký phải có số từ 1024 đến 49151. Cơ quan cấp số hiệu Internet duy trì một danh sách chính thức về tất cả các phạm vi đã biết và đã đăng ký. Các cổng tần số hoặc động nằm trong khoảng từ 29152 đến 65535. Một mục đích sử dụng của phạm vi này là các cổng tạm thời.
Lịch sử sáng tạo
Khái niệm về số cổng được phát triển bởi những người tạo ra ARPANET đầu tiên. Nó được phát triển thông qua sự hợp tác không chính thức giữa các tác giả phần mềm và quản trị viên hệ thống. Vào thời điểm đó, thuật ngữ "số cổng" vẫn chưa được sử dụng. Chuỗi số máy chủ từ xa là số 40 bit. 32 bit đầu tiên giống với địa chỉ IPv4 ngày nay. Những cái quan trọng nhất là 8 bit đầu tiên. Phần ít quan trọng hơn của số (đây là các bit từ 33 đến 40) được chỉ định một đối tượng gọi là AEN. Đó là nguyên mẫu của số cổng hiện đại. Việc tạo ra một thư mục số socket được đề xuất lần đầu tiên vào ngày 26 tháng 3 năm 1972. Sau đó, các quản trị viên mạng được yêu cầu mô tả từng số cố định về các dịch vụ mạng và chức năng của nó. Danh mục này sau đó được xuất bản dưới dạng RFC 433 vào mùa đông năm 1972. Nó bao gồm danh sách các máy chủ, số cổng của chúng và chức năng tương ứng được sử dụng trong mỗi nút trên mạng. Giá trị số cổng chính thức đầu tiên được ghi nhận vào tháng 5 năm 1972. Đồng thời, một chức năng hành chính đặc biệt để duy trì sổ đăng ký này đã được đề xuất. Danh sách cổng TCP đầu tiên bao gồm 256 giá trị AEN. Chúng được chia thành các phạm vi sau:
— từ 0 đến 63 – chức năng tiêu chuẩn của toàn bộ mạng;
— từ 64 đến 127 – các chức năng dành riêng cho máy chủ;
— từ 128 đến 239 – các chức năng được dành riêng để sử dụng trong tương lai;
— từ 240 đến 255 – bất kỳ hàm thử nghiệm nào.
Thuật ngữ AEN, trong những ngày đầu của ARPANET, cũng dùng để chỉ tên của ổ cắm được sử dụng với giao thức kết nối ban đầu và thành phần chương trình quản lý mạng hoặc NCP. Trong trường hợp này, NCP đại diện cho tiền thân của các giao thức Internet hiện đại sử dụng cổng TCP/IP.
ỨNG DỤNG UDP
UDP cũng hỗ trợ Giao thức truyền tệp tầm thường (TFTP), Giao thức quản lý mạng đơn giản (SNMP) và Giao thức thông tin định tuyến (RIP), cùng nhiều ứng dụng khác.
TFTP (Giao thức truyền tệp điển hình). Nó chủ yếu được sử dụng để sao chép và cài đặt hệ điều hành trên máy tính từ máy chủ tệp,
TFTP. TFTP là một ứng dụng nhỏ hơn Giao thức truyền tệp (FTP). Nói chung, TFTP được sử dụng trên mạng để truyền tệp đơn giản. TFTP bao gồm cơ chế kiểm soát lỗi và đánh số thứ tự riêng của nó và do đó, giao thức này không yêu cầu các dịch vụ bổ sung ở lớp vận chuyển.
SNMP (Giao thức quản lý mạng đơn giản) giám sát và quản lý các mạng cũng như thiết bị được gắn vào chúng, đồng thời thu thập thông tin về hiệu suất mạng. SNMP gửi tin nhắn PDU cho phép phần mềm quản lý mạng giám sát các thiết bị trên mạng.
RIP (Giao thức thông tin định tuyến) là một giao thức định tuyến nội bộ, nghĩa là nó được sử dụng trong một tổ chức chứ không phải trên Internet.
ỨNG DỤNG TCP
TCP cũng hỗ trợ FTP, Telnet và Giao thức truyền thư đơn giản (SMTP), cùng nhiều ứng dụng khác.
FTP (Giao thức truyền tệp) là một ứng dụng đầy đủ tính năng được sử dụng để sao chép tệp bằng ứng dụng khách đang chạy trên một máy tính được liên kết với ứng dụng máy chủ FTP trên một máy tính từ xa khác. Sử dụng ứng dụng này, các tập tin có thể được nhận và gửi.
Telnet cho phép bạn thiết lập các phiên cuối với một thiết bị từ xa, thường là máy chủ, bộ định tuyến hoặc bộ chuyển mạch UNIX. Điều này mang lại cho người quản trị mạng khả năng quản lý thiết bị mạng như thể nó ở gần nhau, sử dụng cổng nối tiếp của máy tính để điều khiển. Tính hữu dụng của Telnet chỉ giới hạn ở những hệ thống sử dụng cú pháp lệnh dựa trên ký tự. Telnet không hỗ trợ kiểm soát môi trường đồ họa của người dùng.
SMTP (Giao thức truyền thư đơn giản) là một giao thức truyền thư trên Internet. Nó hỗ trợ chuyển email giữa ứng dụng email và máy chủ email.
CẢNG NỔI TIẾNG
Các cổng nổi tiếng được IANA chỉ định và có phạm vi từ 1023 trở xuống. Chúng được gán cho các ứng dụng cốt lõi của Internet.
PORT ĐĂNG KÝ
Các cổng đã đăng ký được IANA phân loại và có phạm vi từ 1024 đến 49151. Các cổng này được sử dụng bởi các ứng dụng được cấp phép như Lotus Mail.
CỔNG ĐƯỢC CHỈ ĐỊNH ĐỘNG
Các cổng được gán động được đánh số từ 49152 đến 65535. Số cho các cổng này được gán động trong suốt thời gian của một phiên cụ thể.
Nguồn: Wikipedia, Microsoft,portscan.ru
Làm cách nào để biết cổng nào đang mở trên máy tính của tôi?
- Đối với Windows: Bắt đầu → “cmd” → Chạy với tư cách quản trị viên → “netstat -bn”
- Trong chương trình chống vi-rút như Avast, có thể xem các cổng đang hoạt động trong Tường lửa: công cụ -> Tường lửa -> Kết nối mạng.
Các lệnh netstat cũng hữu ích:
Để hiển thị cả số liệu thống kê Ethernet và số liệu thống kê cho tất cả các giao thức, hãy nhập lệnh sau:
netstat -e -s
Để hiển thị số liệu thống kê chỉ cho các giao thức TCP và UDP, hãy nhập lệnh sau:
netstat -s -p tcp udp
Để hiển thị các kết nối TCP đang hoạt động và ID tiến trình cứ sau 5 giây, hãy nhập lệnh sau:
nbtstat -o 5
Để hiển thị các kết nối TCP đang hoạt động và ID tiến trình bằng dạng số, hãy nhập lệnh sau:
nbtstat -n -o
Các giá trị trạng thái sau đây hợp lệ cho các socket TCP:
| ĐÓNG CỬA | Đã đóng Ổ cắm không được sử dụng. |
| LẮNG NGHE (LẮNG NGHE) | Chờ đợi các kết nối đến. |
| SYN_SENT | Tích cực cố gắng thiết lập kết nối. |
| SYN_RECEIVED | Quá trình đồng bộ hóa kết nối ban đầu đang được tiến hành. |
| THÀNH LẬP | Kết nối được thiết lập. |
| CLOSE_WAIT | Bên ở xa đã ngắt kết nối; chờ ổ cắm đóng lại. |
| FIN_WAIT_1 | Ổ cắm đã đóng; ngắt kết nối. |
| ĐÓNG CỬA | Ổ cắm được đóng lại, sau đó phía xa ngắt kết nối; Chờ đợi sự xác nhận. |
| LAST_ACK | Phía xa bị ngắt kết nối, sau đó ổ cắm được đóng lại; Chờ đợi sự xác nhận. |
| FIN_WAIT_2 | Ổ cắm đã đóng; chờ phía xa ngắt kết nối. |
| THỜI GIAN CHỜ ĐỢI | Ổ cắm đã đóng nhưng đang chờ xử lý các gói vẫn còn trên mạng |
Danh sách các cổng được sử dụng phổ biến nhất
| № | Hải cảng | Giao thức | Sự miêu tả | |
|---|---|---|---|---|
| 1 | 20 | Dữ liệu FTP | Giao thức truyền tệp - giao thức truyền tệp. Cổng dữ liệu. | |
| 2 | 21 | Kiểm soát FTP | Giao thức truyền tệp - giao thức truyền tệp. Cổng lệnh. | |
| 3 | 22 | SSH | Secure Shell - "vỏ an toàn". Giao thức điều khiển từ xa của hệ điều hành. | |
| 4 | 23 | telnet | MẠNG TERMINA. Giao thức triển khai giao diện văn bản qua mạng. | |
| 5 | 25 | SMTP | Giao thức chuyển thư đơn giản - một giao thức chuyển thư đơn giản. | |
| 6 | 42 | THẮNG | Dịch vụ tên Internet của Windows. Dịch vụ ánh xạ tên máy tính NetBIOS tới địa chỉ IP máy chủ. | |
| 7 | 43 | AI LÀ | "Ai là". Giao thức lấy dữ liệu đăng ký về chủ sở hữu tên miền và địa chỉ IP. | |
| 8 | 53 | DNS | Domain Name System - hệ thống tên miền. | |
| 9 | 67 | DHCP | Giao thức cấu hình máy chủ động - giao thức dành cho cấu hình máy chủ động. Lấy IP động. | |
| 10 | 69 | TFTP | Giao thức truyền tệp tầm thường - một giao thức truyền tệp đơn giản. | |
| 11 | 80 | HTTP/Web | Giao thức truyền siêu văn bản - giao thức truyền siêu văn bản. | |
| 12 | 110 | POP3 | Giao thức Bưu điện Phiên bản 3 - giao thức nhận email, phiên bản 3. | |
| 13 | 115 | SFTP | Giao thức truyền tệp SSH. Giao thức truyền dữ liệu an toàn. | |
| 14 | 123 | NTP | Giao thức thời gian mạng. Một giao thức để đồng bộ hóa đồng hồ bên trong của máy tính. | |
| 15 | 137 | NetBIOS | Hệ thống đầu vào/đầu ra cơ bản mạng. Giao thức cung cấp các hoạt động đầu vào/đầu ra mạng. Dịch vụ tên. | |
| 16 | 138 | NetBIOS | Hệ thống đầu vào/đầu ra cơ bản mạng. Giao thức cung cấp các hoạt động đầu vào/đầu ra mạng. Dịch vụ kết nối. | |
| 17 | 139 | NetBIOS | Hệ thống đầu vào/đầu ra cơ bản mạng. Giao thức cung cấp các hoạt động đầu vào/đầu ra mạng. Dịch vụ phiên. | |
| 18 | 143 | IMAP | Giao thức truy cập tin nhắn Internet. Giao thức lớp ứng dụng để truy cập email. | |
| 19 | 161 | SNMP | Giao thức quản lý mạng đơn giản - một giao thức quản lý mạng đơn giản. Quản lý thiết bị. | |
| 20 | 179 | BGP | Giao thức cổng biên, giao thức cổng biên. Giao thức định tuyến động. | |
| 21 | 443 | HTTPS | Giao thức truyền siêu văn bản an toàn) là giao thức HTTP hỗ trợ mã hóa. | |
| 22 | 445 | SMB | Khối tin nhắn máy chủ. Một giao thức để truy cập từ xa vào các tập tin, máy in và tài nguyên mạng. | |
| 23 | 514 | nhật ký hệ thống | Nhật ký hệ thống. Một giao thức để gửi và ghi lại các tin nhắn về các sự kiện hệ thống đang diễn ra. | |
| 24 | 515 | LPD | Daemon máy in dòng. Giao thức in từ xa trên máy in. | |
| 25 | 993 | SSL IMAP | Giao thức IMAP hỗ trợ mã hóa SSL. | |
| 26 | 995 | SSL POP3 | Giao thức POP3 hỗ trợ mã hóa SSL. | |
| 27 | 1080 | TẤT | Ổ cắm an toàn. Giao thức để có được quyền truy cập ẩn danh an toàn. | |
| 28 | 1194 | OpenVPN | Triển khai mở công nghệ Mạng riêng ảo (VPN). | |
| 29 | 1433 | MSSQL | Microsoft SQL Server là một hệ thống quản lý cơ sở dữ liệu. Cổng truy cập cơ sở dữ liệu. | |
| 30 | 1702 | L2TP (IPsec) | Giao thức hỗ trợ mạng riêng ảo. Cũng như một bộ giao thức bảo vệ dữ liệu. | |
| 31 | 1723 | PPTP | Giao thức đường hầm để kết nối an toàn với máy chủ điểm-điểm. | |
| 32 | 3128 | Ủy quyền | Hiện tại, cổng này thường được sử dụng bởi các máy chủ proxy. | |
| 33 | 3268 | LDAP | Giao thức truy cập thư mục nhẹ - giao thức truy cập nhẹ vào các thư mục (dịch vụ thư mục). | |
| 34 | 3306 | MySQL | Truy cập vào cơ sở dữ liệu MySQL. | |
| 35 | 3389 | RDP | Giao thức máy tính từ xa - giao thức máy tính từ xa cho Windows. | |
| 36 | 5432 | PostgreSQL | Truy cập vào cơ sở dữ liệu PostgreSQL. | |
| 37 | 5060 | một hớp | Giao thức thiết lập phiên và truyền nội dung đa phương tiện. | |
| 38 | 5900 | VNC | Máy tính mạng ảo là một hệ thống để truy cập từ xa vào máy tính để bàn. | |
| 39 | 5938 | TeamViewer | TeamViewer là một hệ thống cung cấp khả năng điều khiển máy tính và trao đổi dữ liệu từ xa. | |
| 40 | 8080 | HTTP/Web | Một cổng thay thế cho giao thức HTTP. Đôi khi được sử dụng bởi các máy chủ proxy. | |
| 41 | 10000 | NDMP | Cổng phổ biến: Webmin, SIP-voice, VPN IPSec over TCP. | |
| 42 | 20000 | DNP |
| Màn hình 1: Phiên quét Nmap cơ bản |
- Cổng 135 được sử dụng bởi tính năng ánh xạ điểm cuối RPC có trong nhiều công nghệ Windows, chẳng hạn như ứng dụng COM/DCOM, DFS, ghi nhật ký sự kiện, sao chép tệp, xếp hàng tin nhắn và Microsoft Outlook. Cổng này đáng lẽ phải bị chặn bởi tường lửa chu vi mạng, nhưng rất khó để chặn nó mà vẫn duy trì chức năng của Windows.
- Cổng 139 được sử dụng bởi dịch vụ phiên NetBIOS, dịch vụ này cho phép Trình duyệt máy tính khác, Dịch vụ chia sẻ tệp, Đăng nhập mạng và dịch vụ Máy chủ. Rất khó để đóng, giống như cổng 135.
- Cổng 445 được Windows sử dụng để chia sẻ tệp. Để đóng cổng này, bạn phải chặn Chia sẻ Tệp và Máy in cho Mạng Microsoft. Việc đóng cổng này không ngăn máy tính kết nối với các tài nguyên từ xa khác; tuy nhiên, các máy tính khác sẽ không thể kết nối với hệ thống này.
- Cổng 1025 và 1026 được mở động và được sử dụng bởi các quy trình hệ thống Windows khác, đặc biệt là các dịch vụ khác nhau.
- Cổng 3389 được Remote Desktop sử dụng, cổng này không được bật theo mặc định nhưng đang hoạt động trên máy tính thử nghiệm của tôi. Để đóng cổng, hãy chuyển đến tab Từ xa trong hộp thoại Thuộc tính Hệ thống và bỏ chọn hộp kiểm Cho phép người dùng kết nối từ xa với máy tính này.
Hãy nhớ tìm kiếm các cổng UDP đang mở và đóng những cổng không cần thiết. Chương trình quét hiển thị các cổng mở của máy tính có thể nhìn thấy được từ mạng. Có thể đạt được kết quả tương tự bằng cách sử dụng các công cụ nằm trên hệ thống máy chủ.
Quét máy chủ
Ngoài việc sử dụng trình quét cổng mạng, có thể phát hiện các cổng mở trên hệ thống máy chủ bằng lệnh sau (chạy trên hệ thống máy chủ):
Netstat -an
Lệnh này hoạt động trên cả Windows và UNIX. Netstat cung cấp danh sách các cổng đang hoạt động trên máy tính. Trên Windows 2003 Windows XP, bạn phải thêm tùy chọn -o để lấy mã định danh chương trình (PID) tương ứng. Hình 2 hiển thị đầu ra Netstat cho cùng một máy tính đã được quét cổng trước đó. Xin lưu ý rằng một số cổng hoạt động trước đó đã bị đóng.
Kiểm tra nhật ký tường lửa
Một cách hữu ích khác để phát hiện các ứng dụng mạng đang gửi hoặc nhận dữ liệu qua mạng là thu thập và phân tích thêm dữ liệu trong nhật ký tường lửa. Việc từ chối các mục cung cấp thông tin từ giao diện người dùng của tường lửa dường như không hữu ích do "lưu lượng nhiễu" (ví dụ: từ sâu, máy quét, kiểm tra ping) làm tắc nghẽn Internet. Nhưng nếu bạn đăng nhập các gói được phép từ giao diện nội bộ, bạn có thể thấy tất cả lưu lượng truy cập mạng đến và đi.
Để xem dữ liệu lưu lượng thô trên mạng của mình, bạn có thể cài đặt bộ phân tích mạng kết nối với mạng và ghi lại tất cả các gói mạng được phát hiện. Trình phân tích mạng miễn phí được sử dụng rộng rãi nhất là Tcpdump cho UNIX (phiên bản Windows có tên là Windump), rất dễ cài đặt trên máy tính của bạn. Sau khi cài đặt chương trình, bạn nên định cấu hình chương trình để hoạt động ở chế độ nhận tất cả các gói mạng để ghi lại tất cả lưu lượng truy cập, sau đó kết nối nó với trình giám sát cổng trên bộ chuyển mạch mạng và giám sát tất cả lưu lượng truy cập đi qua mạng. Việc thiết lập một màn hình cổng sẽ được thảo luận dưới đây. Tcpdump là một chương trình cực kỳ linh hoạt, có thể được sử dụng để xem lưu lượng mạng bằng các bộ lọc chuyên dụng và chỉ hiển thị thông tin về địa chỉ IP và cổng hoặc tất cả các gói. Rất khó để xem kết xuất mạng trên các mạng lớn nếu không có sự trợ giúp của các bộ lọc thích hợp, nhưng phải cẩn thận để không làm mất dữ liệu quan trọng.
Kết hợp các thành phần
Cho đến nay, chúng ta đã xem xét các phương pháp và công cụ khác nhau có thể được sử dụng để phát hiện các ứng dụng sử dụng mạng. Đã đến lúc kết hợp chúng và chỉ ra cách xác định các cổng mạng mở. Thật ngạc nhiên khi thấy các máy tính có thể trò chuyện trên mạng như thế nào! Trước tiên, bạn nên đọc tài liệu của Microsoft “Tổng quan về dịch vụ và các yêu cầu về cổng mạng cho hệ thống Windows Server” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), liệt kê các giao thức (TCP và UDP) và số cổng được sử dụng bởi các ứng dụng và hầu hết các dịch vụ Windows Server cốt lõi. Tài liệu này mô tả các dịch vụ này và các cổng mạng liên quan mà chúng sử dụng. Chúng tôi khuyên bạn nên tải xuống và in hướng dẫn tham khảo hữu ích này dành cho quản trị viên mạng Windows.
Thiết lập máy phân tích mạng
Trước đây đã lưu ý rằng một cách để xác định các cổng được ứng dụng sử dụng là giám sát lưu lượng giữa các máy tính bằng máy phân tích mạng. Để xem tất cả lưu lượng truy cập, bạn cần kết nối bộ phân tích mạng với bộ giám sát trung tâm hoặc cổng trên bộ chuyển mạch. Mỗi cổng trên một hub nhìn thấy tất cả lưu lượng truy cập từ mọi máy tính được kết nối với hub đó, nhưng hub là một công nghệ lỗi thời và hầu hết các công ty đang thay thế chúng bằng các switch, mang lại hiệu suất tốt nhưng lại cồng kềnh để phân tích: mỗi cổng switch chỉ chấp nhận lưu lượng truy cập dành cho một máy tính được kết nối với hub tới cổng này. Để phân tích toàn bộ mạng, bạn cần giám sát lưu lượng được gửi đến từng cổng switch.
Điều này yêu cầu thiết lập một trình giám sát cổng (các nhà cung cấp khác nhau gọi nó là cổng span hoặc cổng được nhân đôi) trên switch. Việc cài đặt trình giám sát cổng trên bộ chuyển mạch Cisco Catalyst từ Hệ thống Cisco thật dễ dàng. Bạn cần đăng ký trên switch và kích hoạt chế độ Enable, sau đó đi đến cấu hình chế độ đầu cuối và nhập số giao diện của cổng switch mà tất cả lưu lượng được giám sát sẽ được gửi tới. Cuối cùng, bạn phải chỉ định tất cả các cổng được giám sát. Ví dụ: các lệnh sau giám sát ba cổng Fast Ethernet và chuyển tiếp bản sao lưu lượng đến cổng 24.
Giao diện Giám sát cổng FastEthernet0/24 Giám sát cổng FastEthernet0/1 Giám sát cổng FastEthernet0/2 Đầu cuối FastEthernet0/3
Trong ví dụ này, bộ phân tích mạng được kết nối với cổng 24 sẽ xem tất cả lưu lượng đi và đến từ các máy tính được kết nối với ba cổng đầu tiên của bộ chuyển mạch. Để xem cấu hình đã tạo, nhập lệnh
Ghi bộ nhớ
Phân tích ban đầu
Hãy xem một ví dụ về phân tích dữ liệu truyền qua mạng. Nếu bạn đang sử dụng máy tính Linux để phân tích mạng, bạn có thể hiểu toàn diện về loại và tần suất của các gói trên mạng bằng chương trình như IPTraf ở chế độ Thống kê. Chi tiết lưu lượng truy cập có thể được tìm thấy bằng chương trình Tcpdump.
