Port Scan Attack บนคอมพิวเตอร์คืออะไร?

เครือข่ายอินเทอร์เน็ตใช้แนวคิดของพอร์ตเพื่อแยกความแตกต่างของโปรแกรมหรือบริการต่างๆ ที่อยู่ในที่อยู่ IP เดียวกัน ตัวอย่างเช่น คอมพิวเตอร์สามารถเรียกใช้เว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์ FTP ได้พร้อมกันโดยใช้พอร์ต 80 และ 21 ตามลำดับ การโจมตีด้วยการสแกนพอร์ตเกิดขึ้นเมื่อคอมพิวเตอร์เครื่องหนึ่งสแกนพอร์ตของคอมพิวเตอร์อีกเครื่องหนึ่งเพื่อพยายามระบุว่าบริการใดกำลังทำงานอยู่บนคอมพิวเตอร์ระยะไกลเพื่อวัตถุประสงค์ในการแสวงหาประโยชน์

การสแกนพอร์ตเชิงเส้น

การสแกนพอร์ตเชิงเส้นเกี่ยวข้องกับการสแกนทุกพอร์ตบนระบบ พอร์ตอินเทอร์เน็ตโปรโตคอลใช้ระบบการกำหนดหมายเลขแบบ 16 บิต ซึ่งหมายความว่าสามารถมีพอร์ตทั้งหมด 65,536 พอร์ตบนที่อยู่ IP เดียว การสแกนพอร์ตไลเนอร์จะสแกนพอร์ตเหล่านี้ทั้งหมดเพื่อดูว่าพอร์ตใดเปิด ปิด หรือซ่อนอยู่

สแกนพอร์ตสุ่ม

การสแกนพอร์ตแบบสุ่มมีแนวคิดคล้ายกับการสแกนพอร์ตเชิงเส้น อย่างไรก็ตาม ด้วยการสแกนพอร์ตแบบสุ่ม ระบบจะสแกนพอร์ตสุ่มตามจำนวนที่ระบุเท่านั้น แทนที่จะสแกนหมายเลขพอร์ตที่มีอยู่ทั้งหมด สาเหตุของการทำเช่นนี้คือการเพิ่มความเร็วในการสแกน โดยเฉพาะอย่างยิ่งเมื่อผู้โจมตีกำลังสแกนคอมพิวเตอร์หลายเครื่องเพื่อค้นหาช่องโหว่ ด้วยการสแกนพอร์ตแบบสุ่ม หากพบว่าพอร์ตที่สแกนเปิดอยู่ ผู้โจมตีจะตรวจสอบคอมพิวเตอร์เครื่องนั้นเพิ่มเติม

การสแกนพอร์ตบริการที่มีชื่อเสียง

บริการจำนวนมากทำงานบนพอร์ตที่ "เป็นที่รู้จัก" เช่นพอร์ต 25 และ 110 สำหรับอีเมล 21 สำหรับ FTP และ 80 สำหรับอินเทอร์เน็ต การสแกนพอร์ตที่กำหนดเป้าหมายเฉพาะพอร์ตที่รู้จักกันดีนั้นคล้ายกับแนวคิดในการสแกนพอร์ตแบบสุ่ม ยกเว้นหมายเลขพอร์ตที่กำหนดไว้ล่วงหน้าแทนที่จะสุ่ม เช่นเดียวกับการสแกนพอร์ตแบบสุ่ม หากพบว่าพอร์ตที่ทดสอบเปิดอยู่ ผู้โจมตีจะทำการตรวจสอบคอมพิวเตอร์เพิ่มเติม

การลาดตระเวน

หลังจากวิธีการสแกนพอร์ตที่ระบุเสร็จสิ้น ผู้โจมตีจะดูผลลัพธ์และตรวจสอบคอมพิวเตอร์ที่มีพอร์ตที่เปิดอยู่เพิ่มเติม เมื่อพบว่าพอร์ตเปิดอยู่ หมายความว่าบริการบางประเภทกำลังทำงานอยู่บนพอร์ตนั้น และมีโอกาสที่ผู้โจมตีจะใช้ประโยชน์จากพอร์ตดังกล่าวเพื่อวัตถุประสงค์ในการเข้าถึงระบบคอมพิวเตอร์จากระยะไกล ด้วยการเข้าถึงช่องโหว่ที่เหมาะสม ผู้โจมตีอาจเข้าควบคุมระบบคอมพิวเตอร์ได้