Các giao thức và cổng mặc định. Cách kiểm tra kết nối TCP (mở cổng trên máy tính Windows). Cách sử dụng trong URL

ỨNG DỤNG UDP

UDP cũng hỗ trợ Giao thức truyền tệp tầm thường (TFTP), Giao thức quản lý mạng đơn giản (SNMP) và Giao thức thông tin định tuyến (RIP), cùng nhiều ứng dụng khác.
TFTP (Giao thức truyền tệp điển hình). Nó chủ yếu được sử dụng để sao chép và cài đặt hệ điều hànhđến máy tính từ máy chủ tập tin,

TFTP. TFTP là một ứng dụng nhỏ hơn Giao thức truyền tệp (FTP). Thông thường, TFTP được sử dụng trên mạng để truyền tệp đơn giản. TFTP bao gồm riêng của nó cơ chế riêng kiểm soát lỗi và đánh số thứ tự, do đó, giao thức này không cần dịch vụ bổ sung TRÊN lớp vận chuyển.

SNMP (Giao thức quản lý mạng đơn giản) giám sát và quản lý các mạng cũng như thiết bị được gắn vào chúng, đồng thời thu thập thông tin về hiệu suất mạng. SNMP gửi các thông báo khối dữ liệu giao thức cho phép phần mềm quản lý mạng điều khiển các thiết bị trên mạng.

RIP (Giao thức thông tin định tuyến) - giao thức định tuyến nội bộ, có nghĩa là nó có thể được sử dụng trong một tổ chức nhưng không thể sử dụng trên Internet.

ỨNG DỤNG TCP

Giao thức TCP, ngoài nhiều ứng dụng khác, còn hỗ trợ Công việc FTP, Telnet và Giao thức truyền thư đơn giản (SMTP).

FTP (Giao thức truyền tệp) là một ứng dụng đầy đủ tính năng được sử dụng để sao chép các tệp bằng cách sử dụng ứng dụng khách trên một máy tính được liên kết với ứng dụng máy chủ FTP trên một máy tính khác máy tính điều khiển từ xa. Sử dụng ứng dụng này, các tập tin có thể được nhận và gửi.

Telnet cho phép bạn thiết lập các phiên cuối với một thiết bị từ xa, thường là máy chủ, bộ định tuyến hoặc bộ chuyển mạch UNIX. Điều này mang lại cho quản trị viên mạng khả năng quản lý thiết bị mạng như thể nó ở ngay gần đó và đang được kiểm soát bằng cách sử dụng cổng nối tiếp máy tính. Tính hữu dụng của Telnet chỉ giới hạn ở những hệ thống sử dụng chế độ ký tự cú pháp lệnh. Telnet không hỗ trợ kiểm soát môi trường đồ họa của người dùng.

SMTP (Giao thức truyền thư đơn giản) là một giao thức truyền thư trên Internet. Nó hỗ trợ chuyển email giữa ứng dụng email và máy chủ email.

CẢNG NỔI TIẾNG
Các cổng nổi tiếng được IANA chỉ định và có phạm vi từ 1023 trở xuống. Chúng được gán cho các ứng dụng cốt lõi của Internet.

CẢNG ĐĂNG KÝ
Các cổng đã đăng ký được IANA phân loại và có phạm vi từ 1024 đến 49151. Các cổng này được sử dụng bởi các ứng dụng được cấp phép như Lotus Mail.

CỔNG ĐƯỢC CHỈ ĐỊNH ĐỘNG
Các cổng được gán động được đánh số từ 49152 đến 65535. Số cho các cổng này được gán động trong suốt thời gian của một phiên cụ thể.

Giao thức TCP/IP là nền tảng của Internet, qua đó các máy tính gửi và nhận thông tin từ mọi nơi trên thế giới, bất kể vị trí địa lý. Truy cập máy tính TCP/IP ở một quốc gia khác cũng dễ dàng như truy cập máy tính ở phòng bên cạnh. Quy trình truy cập giống hệt nhau trong cả hai trường hợp, mặc dù việc kết nối với máy ở quốc gia khác có thể mất thêm vài mili giây. Kết quả là công dân của bất kỳ quốc gia nào cũng có thể dễ dàng mua sắm trên Amazon.com; tuy nhiên, do sự gần gũi về mặt logic nên nhiệm vụ trở nên phức tạp hơn bảo mật thông tin: bất kỳ chủ sở hữu nào được kết nối với máy tính mạng bất kỳ nơi nào trên thế giới đều có thể cố gắng thiết lập kết nối trái phép với bất kỳ máy nào khác.

Các chuyên gia CNTT có trách nhiệm cài đặt tường lửa và hệ thống để phát hiện lưu lượng truy cập đáng ngờ. Phân tích gói lấy thông tin về địa chỉ IP nguồn và đích cũng như các cổng mạng liên quan. Giá trị của cổng mạng không thua kém địa chỉ IP; Cái này tiêu chí quan trọng nhấtđể tách lưu lượng truy cập hữu ích khỏi các tin nhắn sai và có hại vào và ra khỏi mạng. Hầu hết lưu lượng truy cập mạng Internet bao gồm các gói TCP và UDP, chứa thông tin về các cổng mạng mà máy tính sử dụng để định tuyến lưu lượng truy cập từ ứng dụng này sang ứng dụng khác. Điều kiện tiên quyết Tường lửa và bảo mật mạng - sự hiểu biết toàn diện của quản trị viên về cách máy tính và thiết bị mạng sử dụng các cổng này.

Nghiên cứu cảng

Kiến thức về các nguyên tắc cơ bản hoạt động của cổng mạng sẽ hữu ích cho bất kỳ quản trị viên hệ thống nào. Với sự hiểu biết cơ bản về cổng TCP và UDP, quản trị viên có thể chẩn đoán độc lập một ứng dụng mạng bị lỗi hoặc bảo vệ máy tính truy cập Internet mà không cần gọi cho kỹ sư mạng hoặc nhà tư vấn tường lửa.

Phần đầu tiên của bài viết này (gồm hai phần) mô tả các khái niệm cơ bản cần thiết để thảo luận về cổng mạng. Vị trí các cổng mạng trong tổng thể sẽ được hiển thị mô hình mạng và vai trò của các cổng mạng và tường lửa NAT (Dịch địa chỉ mạng) trong việc kết nối các máy tính của công ty với Internet. Cuối cùng, các điểm mạng sẽ được chỉ định tại đó thuận tiện cho việc xác định và lọc lưu lượng mạng trên các cổng mạng tương ứng. Phần 2 xem xét một số cổng được sử dụng bởi các ứng dụng và hệ điều hành phổ biến và giới thiệu một số công cụ tìm cổng mạng mở.

Tổng quan ngắn gọn về các giao thức mạng

TCP/IP là một tập hợp các giao thức mạng thông qua đó các máy tính giao tiếp với nhau. Bộ TCP/IP không gì khác hơn là những đoạn mã phần mềm được cài đặt trong hệ điều hành cung cấp quyền truy cập vào các giao thức này. TCP/IP là một tiêu chuẩn, vì vậy các ứng dụng TCP/IP trên máy Windows phải giao tiếp thành công với cùng một ứng dụng trên máy UNIX. Trong những ngày đầu của mạng, vào năm 1983, các kỹ sư đã phát triển mô hình kết nối OSI bảy lớp để mô tả các quy trình mạng máy tính, từ cáp đến ứng dụng. mô hình OSI bao gồm các lớp vật lý, kênh, mạng, truyền tải, biểu diễn dữ liệu phiên và các lớp ứng dụng. Các quản trị viên thường xuyên làm việc với Internet và TCP/IP chủ yếu xử lý các lớp mạng, truyền tải và ứng dụng, nhưng để chẩn đoán thành công cần phải biết các lớp khác. Mặc dù mô hình OSI đã cũ nhưng nó vẫn được nhiều chuyên gia sử dụng. Ví dụ: khi một kỹ sư mạng nói về các thiết bị chuyển mạch Lớp 1 hoặc Lớp 2 hoặc nhà cung cấp tường lửa nói về điều khiển Lớp 7, họ đang nói về các lớp được xác định trong mô hình OSI.

Bài viết này nói về các cổng mạng nằm ở lớp 4 - vận chuyển. Trong bộ TCP/IP, các cổng này được sử dụng bởi các giao thức TCP và UDP. Nhưng trước khi chúng ta đến miêu tả cụ thể một cấp độ, bạn cần làm quen nhanh với bảy cấp độ Cấp độ OSI và vai trò của chúng trong mạng TCP/IP hiện đại.

Lớp 1 và 2: Cáp vật lý và địa chỉ MAC

Lớp 1, vật lý, đại diện cho môi trường thực tế mà tín hiệu truyền qua, chẳng hạn như cáp đồng, cáp quang hoặc tín hiệu vô tuyến (trong trường hợp Wi-Fi). Lớp 2, liên kết dữ liệu, mô tả định dạng dữ liệu để truyền trong môi trường vật lý. Ở lớp 2, các gói được tổ chức thành các khung và có thể được triển khai chức năng cơ bảnđiều khiển luồng dữ liệu và xử lý lỗi. Tiêu chuẩn IEEE 802.3, hay còn gọi là Ethernet, là tiêu chuẩn Lớp 2 phổ biến nhất cho các mạng cục bộ hiện đại. Bộ chuyển mạch mạng thông thường là thiết bị Lớp 2, qua đó nhiều máy tính kết nối vật lý và trao đổi dữ liệu với nhau. Đôi khi hai máy tính không thể kết nối với nhau mặc dù địa chỉ IP có vẻ chính xác: sự cố có thể do lỗi trong bộ đệm giao thức dịch thuật Địa chỉ ARP(Giao thức phân giải địa chỉ), cho biết có lỗi ở lớp 2. Ngoài ra, một số điểm không dâyđiểm truy cập (Access Point, AP) cung cấp khả năng lọc Địa chỉ MAC, chỉ cho phép kết nối với AP không dây bộ điều hợp mạng với một địa chỉ MAC cụ thể.

Lớp 3 và 4: Địa chỉ IP và cổng mạng

Lớp 3, mạng, hỗ trợ định tuyến. Trong TCP/IP, việc định tuyến được thực hiện trong IP. Địa chỉ IP của gói thuộc Lớp 3. Bộ định tuyến mạng là thiết bị Lớp 3 phân tích địa chỉ IP gói và chuyển tiếp gói đến bộ định tuyến khác hoặc phân phối gói đến máy tính cục bộ. Nếu phát hiện một gói đáng ngờ trên mạng, bước đầu tiên là kiểm tra địa chỉ IP của gói để xác định nguồn gốc của gói.

Cùng với lớp mạng, lớp 4 (vận chuyển) là điểm khởi đầu tốt để chẩn đoán các sự cố mạng. Trên Internet, Lớp 4 chứa các giao thức TCP và UDP cũng như thông tin về cổng mạng liên kết gói với một ứng dụng cụ thể. ngăn xếp mạng Máy tính sử dụng giao tiếp cổng mạng TCP hoặc UDP với một ứng dụng để hướng lưu lượng mạng đến ứng dụng đó. Ví dụ: cổng TCP 80 được liên kết với ứng dụng máy chủ Web. Việc ánh xạ các cổng tới các ứng dụng này được gọi là một dịch vụ.

TCP và UDP là khác nhau. Về cơ bản, TCP cung cấp kết nối đáng tin cậyđể trao đổi dữ liệu giữa hai ứng dụng. Trước khi bắt đầu giao tiếp, hai ứng dụng phải thiết lập kết nối bằng cách hoàn tất quy trình bắt tay TCP ba bước. UDP là một cách tiếp cận dễ quên hơn. Độ tin cậy truyền thông cho ứng dụng TCPđược cung cấp bởi giao thức và ứng dụng UDP phải kiểm tra độc lập độ tin cậy của kết nối.

Cổng mạng là một số từ 1 đến 65535 được chỉ định và biết cho cả hai ứng dụng mà giao tiếp đang được thiết lập. Ví dụ: một máy khách thường gửi một yêu cầu không được mã hóa đến máy chủ tại địa chỉ đích trên cổng TCP 80. Thông thường, máy tính sẽ gửi truy vấn DNS tới máy chủ DNS tại địa chỉ đích trên cổng UDP 53. Máy khách và máy chủ có địa chỉ IP nguồn và đích, cũng như cổng mạng nguồn và đích, có thể khác nhau. Trong lịch sử, tất cả các số cổng dưới 1024 được gọi là "số cổng đã biết" và được đăng ký với Cơ quan cấp số hiệu Internet (IANA). Trên một số hệ điều hành, chỉ các tiến trình hệ thống mới có thể sử dụng các cổng trong phạm vi này. Ngoài ra, các tổ chức có thể đăng ký cổng 1024 đến 49151 với IANA để liên kết cổng với ứng dụng của họ. Việc đăng ký này cung cấp một cấu trúc giúp tránh xung đột giữa các ứng dụng cố gắng sử dụng cùng một số cổng. Tuy nhiên, nói chung, không có gì ngăn cản ứng dụng yêu cầu một cổng cụ thể miễn là nó không bị chiếm bởi một chương trình đang hoạt động khác.

Về mặt lịch sử, máy chủ có thể lắng nghe trên các cổng được đánh số thấp và máy khách có thể bắt đầu kết nối trên cổng được đánh số cao (trên 1024). Ví dụ: máy khách Web có thể mở kết nối đến máy chủ Web trên cổng đích 80, nhưng liên kết một cổng nguồn được chọn ngẫu nhiên, chẳng hạn như cổng TCP 1025. Khi phản hồi máy khách, máy chủ Web sẽ gửi gói tin tới máy khách bằng nguồn cổng 80 và cổng đích 1025. Sự kết hợp giữa địa chỉ IP và cổng được gọi là ổ cắm và phải là duy nhất trên máy tính. Vì lý do này, khi thiết lập một máy chủ Web có hai trang Web riêng biệt trên cùng một máy tính, bạn phải sử dụng nhiều địa chỉ IP, chẳng hạn như address1:80 và address2:80 hoặc định cấu hình máy chủ Web để nghe trên nhiều cổng mạng, chẳng hạn như như địa chỉ 1:80 và địa chỉ 1:81. Một số máy chủ Web cho phép nhiều trang Web chạy trên một cổng bằng cách yêu cầu tiêu đề máy chủ, nhưng chức năng này thực sự được thực hiện bởi ứng dụng máy chủ Web trên nhiều cổng. cấp độ cao 7.

Khi hệ điều hành và ứng dụng xuất hiện chức năng mạng, các lập trình viên bắt đầu sử dụng số cổng cao hơn 1024 mà không đăng ký tất cả các ứng dụng với IANA. Bằng cách tìm kiếm trên Internet bất kỳ cổng mạng nào, bạn thường có thể nhanh chóng tìm thấy thông tin về các ứng dụng sử dụng cổng đó. Hoặc bạn có thể tìm kiếm Cổng nổi tiếng và tìm nhiều trang web liệt kê các cổng phổ biến nhất.

Khi chặn các ứng dụng mạng trên máy tính hoặc khắc phục lỗi tường lửa, phần lớn công việc đến từ việc phân loại và lọc địa chỉ IP Lớp 3 cũng như các giao thức và cổng mạng Lớp 4. Để nhanh chóng phân biệt giữa lưu lượng truy cập hợp pháp và đáng ngờ, bạn nên học cách nhận biết 20 lưu lượng truy cập phổ biến nhất. được sử dụng rộng rãi trong các cổng TCP và UDP của doanh nghiệp.

Khả năng nhận biết cổng mạng và việc tìm hiểu chúng không chỉ dừng lại ở việc chỉ định các quy tắc tường lửa. Ví dụ: một số bản vá bảo mật của Microsoft mô tả cách đóng cổng NetBIOS. Biện pháp này giúp hạn chế sự lây lan của sâu xâm nhập qua các lỗ hổng trong hệ điều hành. Biết cách thức và vị trí đóng các cổng này có thể giúp giảm rủi ro bảo mật mạng trong khi chuẩn bị triển khai bản vá quan trọng.

Và thẳng tới cấp 7

Ngày nay, hiếm khi nghe về Lớp 5 (phiên) và Lớp 6 (bản trình bày), nhưng Lớp 7 (ứng dụng) là một chủ đề nóng giữa các nhà cung cấp tường lửa. Xu hướng mới nhất trong phát triển tường lửa mạng là kiểm tra Lớp 7, mô tả các kỹ thuật được sử dụng để phân tích cách ứng dụng hoạt động chống lại giao thức mạng. Bằng cách phân tích tải trọng của gói mạng, tường lửa có thể xác định xem lưu lượng truy cập đi qua nó có hợp pháp hay không. Ví dụ: một yêu cầu Web chứa câu lệnh GET bên trong gói Lớp 4 (cổng TCP 80). Nếu tường lửa của bạn có chức năng Lớp 7, bạn có thể xác minh rằng câu lệnh GET là chính xác. Một ví dụ khác là nhiều chương trình chia sẻ tệp ngang hàng (P2P) có thể chiếm quyền điều khiển cổng 80. Kết quả là người ngoài có thể định cấu hình chương trình để sử dụng cổng mà họ chọn - rất có thể là cổng nên được để mở trong một tường lửa nhất định. Nếu nhân viên của công ty cần truy cập Internet, cổng 80 phải được mở, nhưng để phân biệt lưu lượng Web hợp pháp với lưu lượng P2P do ai đó hướng đến cổng 80, tường lửa phải cung cấp khả năng kiểm soát lớp 7.

Vai trò của tường lửa

Sau khi mô tả các lớp mạng, chúng ta có thể chuyển sang mô tả cơ chế giao tiếp giữa các ứng dụng mạng thông qua tường lửa, đặc biệt chú ý đến các cổng mạng được sử dụng. Trong ví dụ sau, trình duyệt máy khách giao tiếp với máy chủ Web ở phía bên kia tường lửa, giống như nhân viên công ty giao tiếp với máy chủ Web trên Internet.

Hầu hết các tường lửa Internet hoạt động ở lớp 3 và 4 để kiểm tra và sau đó cho phép hoặc chặn lưu lượng mạng đến và đi. Nói chung, quản trị viên viết danh sách kiểm soát truy cập (ACL) xác định địa chỉ IP và cổng mạng của lưu lượng truy cập bị chặn hoặc cho phép. Ví dụ: để truy cập Web, bạn cần khởi chạy trình duyệt và trỏ nó vào trang Web. Máy tính bắt đầu kết nối đi bằng cách gửi một chuỗi các gói IP bao gồm thông tin tiêu đề và tải trọng. Tiêu đề chứa thông tin tuyến đường và các thuộc tính gói khác. Các quy tắc tường lửa thường được viết có lưu ý đến thông tin định tuyến và thường chứa địa chỉ IP nguồn và đích (lớp 3) và giao thức gói (lớp 4). Khi duyệt Web, địa chỉ IP đích thuộc về máy chủ Web, giao thức và cổng đích (theo mặc định) là TCP 80. Địa chỉ IP nguồn là địa chỉ của máy tính mà người dùng truy cập Web và nguồn cổng thường là số được gán động, lớn hơn 1024. Thông tin hữu ích không phụ thuộc vào tiêu đề và được tạo bởi ứng dụng người dùng; trong trường hợp này, đó là yêu cầu máy chủ Web cung cấp một trang Web.

Tường lửa phân tích lưu lượng đi và cho phép nó theo các quy tắc tường lửa. Nhiều công ty cho phép tất cả lưu lượng truy cập đi từ mạng của họ. Cách tiếp cận này đơn giản hóa việc cấu hình và triển khai nhưng làm giảm tính bảo mật do thiếu quyền kiểm soát dữ liệu rời khỏi mạng. Ví dụ, " ngựa thành Troy"có thể lây nhiễm vào một máy tính trên mạng doanh nghiệp và gửi thông tin từ máy tính đó đến một máy tính khác trên Internet. Sẽ rất hợp lý khi tạo danh sách kiểm soát truy cập để chặn những thông tin gửi đi như vậy.

Ngược lại với cách tiếp cận gửi đi của nhiều tường lửa, hầu hết đều được cấu hình để chặn lưu lượng truy cập đến. Thông thường, tường lửa chỉ cho phép lưu lượng truy cập đến trong hai trường hợp. Đầu tiên là lưu lượng truy cập đến để đáp ứng yêu cầu gửi đi của người dùng trước đó. Ví dụ: nếu bạn chỉ định địa chỉ của một trang Web trong trình duyệt, tường lửa sẽ cho phép truy cập vào mạng Mã chương trình HTML và các thành phần khác của một trang Web. Trường hợp thứ hai là lưu trữ một dịch vụ nội bộ trên Internet, chẳng hạn như máy chủ thư, trang Web hoặc FTP. Lưu trữ một dịch vụ như vậy thường được gọi là dịch cổng hoặc xuất bản máy chủ. Việc triển khai dịch cổng khác nhau giữa các nhà cung cấp tường lửa, nhưng nguyên tắc cơ bản là giống nhau. Quản trị viên xác định một dịch vụ, chẳng hạn như cổng TCP 80 cho máy chủ Web và máy chủ phụ trợ để lưu trữ dịch vụ. Nếu các gói đi vào tường lửa thông qua giao diện bên ngoài tương ứng với dịch vụ này thì cơ chế dịch cổng sẽ chuyển tiếp chúng đến một máy tính cụ thể trên mạng ẩn sau tường lửa. Dịch cổng được sử dụng cùng với dịch vụ NAT được mô tả bên dưới.

NAT cơ bản

Với NAT, nhiều máy tính trong một công ty có thể chia sẻ một không gian địa chỉ IP công cộng nhỏ. Máy chủ DHCP của công ty có thể phân bổ địa chỉ IP từ một trong các khối địa chỉ IP riêng tư, không thể định tuyến trên Internet được xác định trong Yêu cầu Nhận xét (RFC) số 1918. Nhiều công ty cũng có thể chia sẻ cùng một không gian địa chỉ IP riêng tư. Ví dụ về mạng con IP riêng là 10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16. Bộ định tuyến Internet chặn mọi gói được chuyển đến một trong các địa chỉ riêng. NAT là một tính năng tường lửa cho phép các công ty sử dụng địa chỉ IP riêng để liên lạc với các máy tính khác trên Internet. Tường lửa biết cách chuyển lưu lượng truy cập đến và đi thành địa chỉ IP nội bộ riêng tư để mọi máy tính đều có thể truy cập Internet.

Trong bộ lễ phục. Hình 1 thể hiện kết nối NAT cơ bản giữa máy khách và máy chủ Web. Trong Giai đoạn 1, lưu lượng truy cập được hướng tới Internet từ máy tính Mạng lưới công ty, đến giao diện bên trong của tường lửa. Tường lửa nhận gói tin và tạo một mục trong bảng theo dõi kết nối, bảng này kiểm soát việc dịch địa chỉ. Sau đó, tường lửa sẽ thay thế địa chỉ nguồn riêng của gói bằng địa chỉ IP công cộng bên ngoài của chính nó và gửi gói đến đích trên Internet (bước 2). Máy tính đích nhận gói và chuyển tiếp phản hồi tới tường lửa (bước 3). Sau khi nhận được gói này, tường lửa sẽ tìm người gửi gói nguồn trong bảng theo dõi kết nối, thay thế địa chỉ IP đích bằng địa chỉ IP riêng tương ứng và chuyển tiếp gói tới nguồn máy tính(giai đoạn 4). Bởi vì tường lửa gửi các gói thay mặt cho mọi người máy tính nội bộ, nó thay đổi cổng mạng nguồn và thông tin này được lưu trữ trong bảng theo dõi kết nối của tường lửa. Điều này là cần thiết để đảm bảo rằng các ổ cắm đi vẫn là duy nhất.

Điều quan trọng là phải hiểu cách NAT hoạt động vì NAT thay đổi địa chỉ IP và cổng mạng của gói lưu lượng. Sự hiểu biết này giúp chẩn đoán lỗi. Ví dụ: có thể hiểu rõ tại sao cùng một lưu lượng truy cập có thể có các địa chỉ IP và cổng mạng khác nhau trên giao diện bên ngoài và bên trong của tường lửa.

Đầu tiên là nền móng, sau đó là kết cấu

Việc hiểu các nguyên tắc mạng cơ bản từ phía ứng dụng, tường lửa và cổng không chỉ dành cho các kỹ sư mạng. Ngày nay hiếm thấy hệ thống máy tính, không được kết nối với mạng và ngay cả quản trị viên hệ thống cũng có thể giải quyết vấn đề của họ dễ dàng hơn nhiều bằng cách hiểu ít nhất những điều cơ bản về cách sử dụng cổng mạng để kết nối các ứng dụng qua Internet.

Phần thứ hai của bài viết sẽ xem xét các công cụ phát hiện ứng dụng trên mạng bằng cách phân tích các cổng mạng liên quan. Để tìm các ứng dụng mở cổng nghe và có thể truy cập qua mạng, máy tính sẽ được thăm dò qua mạng (quét cổng) và cục bộ (quét máy chủ). Ngoài ra, bằng cách xem nhật ký tường lửa, bạn có thể kiểm tra lưu lượng mạng vượt qua ranh giới mạng và xem xét các cổng mạng khác nhau đang được sử dụng Ứng dụng Windows và UNIX.

Cổng mạng có thể cung cấp thông tin quan trọng về các ứng dụng truy cập máy tính qua mạng. Bằng cách biết các ứng dụng sử dụng mạng và các cổng mạng tương ứng, bạn có thể tạo các quy tắc tường lửa chính xác và định cấu hình máy tính chủ để chỉ cho phép giao thông hữu ích. Bằng cách xây dựng cấu hình mạng và triển khai các công cụ nhận dạng lưu lượng mạng, bạn có thể phát hiện những kẻ xâm nhập hiệu quả hơn - đôi khi chỉ đơn giản bằng cách phân tích lưu lượng mạng mà chúng tạo ra. Chúng tôi bắt đầu xem xét chủ đề này trong phần đầu tiên của bài viết đăng trên số trước của tạp chí. Nó cung cấp thông tin cơ bản về các cổng TCP/IP làm nền tảng cho bảo mật mạng. Phần 2 sẽ mô tả một số phương pháp mạng và máy chủ có thể được sử dụng để xác định các ứng dụng đang nghe trên mạng. Phần sau của bài viết chúng ta sẽ nói về cách đánh giá lưu lượng truy cập đi qua mạng.

Chặn các ứng dụng mạng

Bề mặt tấn công mạng là một thuật ngữ phổ biến để mô tả lỗ hổng mạng. Nhiều cuộc tấn công mạng được định tuyến thông qua các ứng dụng dễ bị tấn công và bề mặt tấn công có thể giảm đáng kể bằng cách giảm số lượng ứng dụng đang hoạt động trực tuyến. Nói cách khác, bạn nên vô hiệu hóa dịch vụ chưa sử dụng, cài đặt tường lửa trên hệ thống chuyên dụng để xác minh tính hợp pháp của lưu lượng truy cập và tạo danh sách kiểm soát truy cập (ACL) toàn diện cho tường lửa ở chu vi mạng.

Mỗi cổng mạng mở đại diện cho một ứng dụng đang lắng nghe trên mạng. Bề mặt tấn công của mỗi máy chủ được kết nối với mạng có thể được giảm thiểu bằng cách vô hiệu hóa tất cả các ứng dụng và dịch vụ mạng không cần thiết. Phiên bản máy chủ Windows 2003 vượt trội hơn so với các phiên bản trước của hệ điều hành vì theo mặc định, nó cho phép ít dịch vụ mạng hơn. Tuy nhiên, vẫn cần phải kiểm toán để phát hiện lại ứng dụng đã cài đặt và những thay đổi về cấu hình mở ra những cổng mạng không cần thiết.

Mọi mở cổng- một cửa hậu tiềm năng cho những kẻ tấn công khai thác khoảng trống trong ứng dụng máy chủ hoặc lén lút truy cập vào một ứng dụng bằng tên người dùng và mật khẩu của người dùng khác (hoặc sử dụng tên người dùng và mật khẩu khác của người dùng khác). phương pháp pháp lý xác thực). Dù bằng cách nào, bước quan trọng đầu tiên để bảo vệ mạng của bạn chỉ đơn giản là vô hiệu hóa các ứng dụng mạng không sử dụng.

Quét cổng

Quét cổng là quá trình phát hiện các ứng dụng đang nghe bằng cách chủ động thăm dò các cổng mạng của máy tính hoặc thiết bị mạng khác. Khả năng đọc kết quả quét và so sánh các báo cáo mạng với kết quả thăm dò cổng máy chủ cho phép bạn có được bức tranh rõ ràng về lưu lượng truy cập qua mạng của mình. Kiến thức về cấu trúc liên kết mạng - điều kiện quan trọng chuẩn bị kế hoạch quét chiến lược khu vực cụ thể. Ví dụ: bằng cách quét một loạt địa chỉ IP bên ngoài, bạn có thể thu thập dữ liệu có giá trị về kẻ tấn công Internet. Vì vậy, bạn nên quét mạng thường xuyên hơn và đóng tất cả các cổng mạng không cần thiết.

Quét cổng tường lửa bên ngoài có thể phát hiện tất cả các dịch vụ phản hồi (chẳng hạn như Web hoặc email) được lưu trữ trên các máy chủ nội bộ. Những máy chủ này cũng cần được bảo vệ. Định cấu hình trình quét cổng quen thuộc (ví dụ: Network Mapper - Nmap) để quét nhóm cổng UDP hoặc TCP mong muốn. Thông thường, quét cổng TCP đáng tin cậy hơn quét UDP do tính năng quét cổng sâu hơn. nhận xét với các giao thức TCP hướng kết nối. Có phiên bản Nmap cho cả Windows và Unix. Việc khởi chạy quy trình quét cơ bản rất đơn giản, mặc dù chương trình thực hiện nhiều hơn thế nữa. hàm phức tạp. Để tìm các cổng đang mở trên máy tính thử nghiệm, tôi chạy lệnh

Nmap 192.168.0.161

Màn hình 1 hiển thị kết quả của phiên quét - trong trường hợp này là máy tính Windows 2003 có cấu hình tiêu chuẩn. Dữ liệu được thu thập từ quá trình quét cổng cho thấy có sáu cổng TCP đang mở.

• Cổng 135 được sử dụng bởi tính năng ánh xạ điểm cuối RPC được triển khai ở nhiều Công nghệ Windows- ví dụ: ứng dụng COM/DCOM, DFS, nhật ký sự kiện, cơ chế sao chép tệp, xếp hàng tin nhắn và Microsoft Outlook. Cổng này đáng lẽ phải bị chặn bởi tường lửa chu vi mạng, nhưng rất khó để chặn nó mà vẫn duy trì chức năng của Windows.
• Cổng 139 được sử dụng bởi dịch vụ phiên NetBIOS, cho phép trình duyệt tìm kiếm các máy tính khác, dịch vụ chia sẻ tập tin, đăng nhập mạng và dịch vụ máy chủ. Rất khó để đóng, giống như cổng 135.
• Cổng 445 được Windows sử dụng để chia sẻ tệp. Để đóng cổng này, bạn phải chặn Chia sẻ tệp và máy in cho Microsoft Mạng. Việc đóng cổng này không ngăn máy tính giao tiếp với người khác tài nguyên từ xa; tuy nhiên, các máy tính khác sẽ không thể kết nối với hệ thống này.
• Cổng 1025 và 1026 được mở động và được hệ thống khác sử dụng Quy trình Windows, đặc biệt là các dịch vụ khác nhau.
• Cổng 3389 được Remote Desktop sử dụng, cổng này không được bật theo mặc định nhưng đang hoạt động trên máy tính thử nghiệm của tôi. Để đóng cổng, hãy chuyển đến tab Từ xa trong hộp thoại Thuộc tính Hệ thống và bỏ chọn hộp kiểm Cho phép người dùng kết nối từ xa với máy tính này.

Hãy nhớ tìm kiếm các cổng UDP đang mở và đóng những cổng không cần thiết. Chương trình quét hiển thị cổng mở máy tính có thể nhìn thấy được từ mạng. Kết quả tương tự có thể thu được bằng cách sử dụng các công cụ nằm trên hệ thống máy chủ.

Quét máy chủ

Ngoài việc sử dụng máy quét mạng cổng, cổng mở trên hệ thống máy chủ có thể được phát hiện bằng lệnh sau (chạy trên hệ thống máy chủ):

Netstat -an

Lệnh này hoạt động trên cả Windows và UNIX. Netstat cung cấp danh sách các cổng đang hoạt động trên máy tính. Trên Windows 2003 Windows XP, bạn phải thêm tùy chọn -o để lấy mã định danh chương trình (PID) tương ứng. Hình 2 cho thấy đầu ra Netstat của cùng một máy tính đã được quét cổng trước đó. Xin lưu ý rằng một số cổng hoạt động trước đó đã bị đóng.

Kiểm tra nhật ký tường lửa

Khác Cách hữu ích phát hiện các ứng dụng mạng gửi hoặc nhận dữ liệu qua mạng - thu thập và phân tích thêm dữ liệu trong nhật ký tường lửa. Việc từ chối các mục cung cấp thông tin từ giao diện người dùng của tường lửa dường như không hữu ích do "lưu lượng nhiễu" (ví dụ: sâu, máy quét, kiểm tra ping) làm tắc nghẽn Internet. Nhưng nếu bạn đăng nhập các gói được phép với giao diện nội bộ, sau đó bạn có thể thấy tất cả lưu lượng truy cập mạng đến và đi.

Để xem dữ liệu lưu lượng truy cập “thô” trên mạng, bạn có thể đặt máy phân tích mạng, kết nối với mạng và ghi lại tất cả các gói mạng được phát hiện. Trình phân tích mạng miễn phí được sử dụng rộng rãi nhất là Tcpdump cho UNIX (phiên bản Windows có tên là Windump), rất dễ cài đặt trên máy tính của bạn. Sau khi cài đặt chương trình, bạn nên cấu hình chương trình để nó hoạt động ở chế độ nhận tất cả gói mạngđể ghi lại tất cả lưu lượng truy cập và sau đó kết nối với màn hình cổng trên chuyển đổi mạng và giám sát tất cả lưu lượng đi qua mạng. Việc thiết lập một màn hình cổng sẽ được thảo luận dưới đây. Tcpdump là một chương trình cực kỳ linh hoạt, có thể được sử dụng để xem lưu lượng mạng bằng các bộ lọc chuyên dụng và chỉ hiển thị thông tin về địa chỉ IP và cổng hoặc tất cả các gói. Rất khó để xem kết xuất mạng trên các mạng lớn nếu không có sự trợ giúp của các bộ lọc thích hợp, nhưng phải cẩn thận để không làm mất dữ liệu quan trọng.

Kết hợp các thành phần

Cho đến nay chúng tôi đã xem xét Các phương pháp khác nhau và các công cụ có thể giúp bạn khám phá các ứng dụng sử dụng mạng. Đã đến lúc kết hợp chúng và chỉ ra cách xác định các cổng mạng mở. Thật ngạc nhiên khi thấy các máy tính có thể trò chuyện trên mạng như thế nào! Đầu tiên, nên làm quen với tài liệu Microsoft"Tổng quan về dịch vụ và yêu cầu cổng mạng cho hệ thống Windows Server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), liệt kê các giao thức (TCP và UDP) và số cổng được sử dụng bởi các ứng dụng và hầu hết các giao thức chính Dịch vụ Windows Máy chủ. Tài liệu mô tả các dịch vụ này và các cổng mạng liên quan mà chúng sử dụng. Chúng tôi khuyên bạn nên tải xuống và in tài liệu này hữu ích cho quản trị viên mạng Tài liệu tham khảo Windows sự quản lý.

Thiết lập máy phân tích mạng

Trước đây đã lưu ý rằng một cách để xác định các cổng được ứng dụng sử dụng là giám sát lưu lượng giữa các máy tính bằng máy phân tích mạng. Để xem tất cả lưu lượng truy cập, bạn cần kết nối bộ phân tích mạng với bộ giám sát trung tâm hoặc cổng trên bộ chuyển mạch. Mỗi cổng trên một trung tâm sẽ xem tất cả lưu lượng truy cập từ mọi máy tính được kết nối với trung tâm đó, nhưng các trung tâm là một công nghệ lỗi thời và hầu hết các công ty đang thay thế chúng bằng các thiết bị chuyển mạch cung cấp hiệu suất tốt, nhưng bất tiện cho việc phân tích: mỗi cổng chuyển đổi chỉ chấp nhận lưu lượng truy cập hướng đến một máy tính được kết nối với cổng này. Để phân tích toàn bộ mạng, bạn cần giám sát lưu lượng được gửi đến từng cổng switch.

Điều này yêu cầu thiết lập một trình giám sát cổng (các nhà cung cấp khác nhau gọi nó là cổng span hoặc cổng được nhân đôi) trên switch. Đặt màn hình cổng thành chuyển mạch Cisco Cisco Systems Catalyst là điều hiển nhiên. Bạn cần đăng ký trên switch và kích hoạt chế độ Enable, sau đó vào cấu hình chế độ terminal và nhập số giao diện của cổng switch mà bạn sẽ gửi tất cả giao thông được kiểm soát. Cuối cùng, bạn phải chỉ định tất cả các cổng được giám sát. Ví dụ: các lệnh sau giám sát ba cổng Ethernet nhanh và chuyển tiếp một bản sao lưu lượng đến cổng 24.

Giao diện Giám sát cổng FastEthernet0/24 Giám sát cổng FastEthernet0/1 Giám sát cổng FastEthernet0/2 Đầu cuối FastEthernet0/3

TRONG trong ví dụ này Bộ phân tích mạng được kết nối với cổng 24 sẽ xem tất cả lưu lượng truy cập đi và đến từ các máy tính được kết nối với ba cổng đầu tiên của bộ chuyển mạch. Để xem cấu hình đã tạo, nhập lệnh

Ghi bộ nhớ

Phân tích ban đầu

Hãy xem một ví dụ về phân tích dữ liệu truyền qua mạng. Nếu được sử dụng để phân tích mạng máy tính Linux, thì bạn có thể có được bức tranh toàn diện về loại và tần suất của các gói trên mạng bằng chương trình như IPTraf ở chế độ Thống kê. Chi tiết lưu lượng truy cập có thể được tìm thấy bằng chương trình Tcpdump.

Xin chào mọi người, hôm nay tôi sẽ cho bạn biết giao thức TCP khác với UDP như thế nào. Các giao thức lớp vận chuyển, tiếp theo trong hệ thống phân cấp của IP, được sử dụng để truyền dữ liệu giữa các tiến trình ứng dụng đang chạy trên các nút mạng. Gói dữ liệu nhận được từ máy tính này sang máy tính khác qua Internet phải được chuyển sang quy trình xử lý và chính xác cho một mục đích cụ thể. Lớp vận chuyển chịu trách nhiệm về việc này. Ở cấp độ này có hai giao thức chính – TCP và UDP.

TCP và UDP có nghĩa là gì?

TCP– giao thức truyền tải để truyền dữ liệu trong mạng TCP/IP, thiết lập sơ bộ kết nối với mạng.

UDP– một giao thức truyền tải truyền các thông điệp datagram mà không cần thiết lập kết nối trên mạng IP.

Hãy để tôi nhắc bạn rằng cả hai giao thức đều hoạt động ở lớp vận chuyển của mô hình OSI hoặc TCP/IP và việc hiểu chúng khác nhau như thế nào là rất quan trọng.

Sự khác biệt giữa giao thức TCP và UDP

Sự khác biệt giữa giao thức TCP và UDP là cái gọi là “đảm bảo phân phối”. TCP yêu cầu phản hồi từ máy khách mà gói dữ liệu được gửi đến, xác nhận việc gửi và để làm được điều này, nó cần có kết nối được thiết lập trước. Ngoài ra, giao thức TCP được coi là đáng tin cậy, trong khi UDP thậm chí còn nhận được cái tên “giao thức datagram không đáng tin cậy”. TCP loại bỏ tình trạng mất dữ liệu, trùng lặp và trộn lẫn các gói cũng như độ trễ. UDP cho phép tất cả điều này và không yêu cầu kết nối để hoạt động. Các quy trình nhận dữ liệu qua UDP phải thực hiện với những gì chúng nhận được, ngay cả khi bị mất dữ liệu. TCP kiểm soát sự tắc nghẽn của kết nối, UDP không kiểm soát bất cứ điều gì ngoài tính toàn vẹn của các datagram nhận được.

Mặt khác, do tính không chọn lọc và thiếu khả năng kiểm soát như vậy, UDP cung cấp các gói dữ liệu (datagram) nhanh hơn nhiều, do đó đối với các ứng dụng được thiết kế cho phạm vi rộng thông lượng Và trao đổi nhanh,UDP có thể được coi là giao thức tối ưu. Chúng bao gồm các trò chơi trên mạng và trình duyệt, cũng như các chương trình và ứng dụng xem video trực tuyến để liên lạc video (hoặc giọng nói): việc mất gói, toàn bộ hoặc một phần, không thay đổi bất cứ điều gì, không cần thiết phải lặp lại yêu cầu, nhưng tải xuống nhanh hơn nhiều. Giao thức TCP, đáng tin cậy hơn, được sử dụng thành công ngay cả trong chương trình thư, cho phép bạn kiểm soát không chỉ lưu lượng truy cập mà còn cả độ dài của tin nhắn và tốc độ trao đổi lưu lượng.

Hãy xem xét sự khác biệt chính giữa tcp và udp.

1. TCP đảm bảo việc phân phối các gói dữ liệu ở dạng, trình tự không thay đổi và không bị mất, UDP không đảm bảo bất cứ điều gì.
2. TCP đánh số các gói khi chúng được truyền đi, nhưng UDP thì không.
3. TCP hoạt động ở chế độ song công hoàn toàn, trong một gói bạn có thể gửi thông tin và xác nhận đã nhận gói trước đó.
4. TCP yêu cầu kết nối được thiết lập trước, UDP không yêu cầu kết nối, nó chỉ là luồng dữ liệu.
5. UDP cung cấp nhiều hơn tốc độ cao truyền dữ liệu.
6. TCP đáng tin cậy hơn và kiểm soát quá trình trao đổi dữ liệu.
7. UDP được ưu tiên cho các chương trình phát truyền phát video, videophony và điện thoại, trò chơi mạng.
8. UPD không chứa chức năng khôi phục dữ liệu

Ví dụ về các ứng dụng UDP bao gồm việc chuyển các vùng DNS sang Active Directory, nơi không yêu cầu độ tin cậy. Họ thường thích hỏi những câu hỏi như vậy trong các cuộc phỏng vấn, vì vậy điều rất quan trọng là phải biết sự khác biệt giữa tcp và udp.

Tiêu đề TCP và UDP

Chúng ta hãy xem tiêu đề của hai giao thức truyền tải trông như thế nào, vì ở đây cũng có sự khác biệt cơ bản.

tiêu đề UDP

• Cổng nguồn 16 bit > Việc chỉ định cổng nguồn cho UDP là tùy chọn. Nếu trường này được sử dụng, người nhận có thể gửi phản hồi tới cổng này.
• Cổng đích 16 bit > Số cổng đích
• Độ dài UDP 16 bit > Độ dài của tin nhắn, bao gồm tiêu đề và dữ liệu.
• Tổng kiểm tra 16 bit > Kiểm tra tổng tiêu đề và dữ liệu cần kiểm tra

tiêu đề TCP

• Cổng nguồn 16 bit > Số cổng nguồn
• Cổng đích 16 bit > Số cổng đích
• Số thứ tự 32 bit > Số thứ tự được tạo bởi nguồn và được đích sử dụng để sắp xếp lại các gói nhằm tạo tin nhắn gốc và gửi xác nhận đến nguồn.
• Số xác nhận 32 bit > Nếu bit ACK của trường Điều khiển được đặt thì trường này chứa số thứ tự dự kiến ​​tiếp theo.
• Độ dài tiêu đề 4 bit > Thông tin về thời điểm bắt đầu gói dữ liệu.
• dự trữ > Dự trữ để sử dụng trong tương lai.
• Tổng kiểm tra 16-bit > Tổng kiểm tra tiêu đề và dữ liệu; nó xác định xem gói tin có bị hỏng hay không.
• Chỉ báo mức độ khẩn cấp 16 bit > Trong trường này, thiết bị mục tiêu nhận được thông tin về mức độ khẩn cấp của dữ liệu.
• Tùy chọn > Giá trị tùy chọn có thể được chỉ định khi cần.

Kích thước cửa sổ cho phép bạn tiết kiệm lưu lượng, hãy xem xét khi giá trị của nó là 1, sau đó với mỗi phản hồi được gửi, người gửi sẽ chờ xác nhận, điều này không hoàn toàn hợp lý.

Với kích thước cửa sổ là 3, người gửi đã gửi 3 khung và đợi từ 4, ngụ ý rằng anh ta có cả ba khung, +1.

Tôi hy vọng bây giờ bạn đã có ý tưởng về sự khác biệt giữa giao thức tcp và udp.