ポートスキャンは、ネットワークコンピュータが持つ複数のポートに対して接続要求と要求に対する応答を確認することで、利用可能なポートを探すことです。
ポートはインターネットで特定のサービスへの通信をさせる入り口です。そのプロセスを識別するコードをポート番号と呼びます。
よく知られるポート番号として以下があります。
| ポート番号 | プロトコル |
|---|---|
| 20 | FTP-data |
| 21 | FTP-control |
| 22 | SSH |
| 23 | TELNET |
| 25 | SMTP |
| 50 | ESP |
| 53 | DNS |
| 80 | HTTP |
| 110 | POP3 |
| 123 | NTP |
| 135 | RPC |
| 137 | NetBIOS |
| 143 | IMAP |
| 443 | HTTPS |
| 445 | SMB |
| 500 | IKE |
ポートスキャンが行われていると、同じユーザがなんども断続的にアクセスをしてくることになるので、アクセスログを確認する際はアクセス数が異常に多いユーザに注意が必要です。
ポートスキャンによる攻撃の代表的な方法として、TCP SYNスキャン(ステルススキャン)があります。これは対象となるポートに対してTCPコネクション要求のSYNパケット送信します。その応答により次の判定をします。
- SYN/ACKが応答される:対象ポートが開いているので接続可能。
- RST/ACKが応答される:対象ポートが閉じているので接続不可。
TCPのコネクションは3ウェイハンドシェイクが使われます。しかし、TCP SYNスキャンでは攻撃を隠蔽するため、SYN/ACKが応答されても、確認応答であるACKをを返さず、RSTを返すことでコネクションを確立しません。
攻撃者がシステムに侵入するときにポートスキャンを行う目的はどれか。
| ア | 後処理の段階において,システムログに攻撃の痕跡が残っていないかどうかを調査する。 |
| イ | 権限取得の段階において,権限を奪取できそうなアカウントがあるかどうかを調査する。 |
| ウ | 事前調査の段階において,攻撃できそうなサービスがあるかどうかを調査する。 | エ | 不正実行の段階において,攻撃者にとって有益な利用者情報があるかどうかを調査する。 |
答え:ウ
ポートスキャンは、ネットワークコンピュータが持つ複数のポートに対して接続要求と要求に対する応答を確認することで、利用可能なポートを探すことです。スキャン対象からの応答でOSの種類、稼働しているサービスとそのバージョンなどの情報が得られるため、不正アクセスを行うための下調べや、脆弱性検査などの目的で実施されます。
