पोर्ट स्कैनर

पोर्ट स्कैनर खुले टीसीपी और यूडीपी पोर्ट के लिए सर्वर (कंप्यूटिंग) या परिचारक (नेटवर्क) की जांच के लिए डिज़ाइन किया गया एक अनुप्रयोग है। इस तरह के एक अनुप्रयोग का उपयोग नेटवर्क प्रशासकों द्वारा अपने संगणक संजाल की सुरक्षा नीतियों को सत्यापित करने और परिचारक पर चल रही नेटवर्क सेवाओं की पहचान करने और कमजोरियों का फायदा उठाने के लिए किया जा सकता है।

एक पोर्ट स्कैन या पोर्टस्कैन एक ऐसी प्रक्रिया है जो एक सक्रिय पोर्ट को खोजने के लक्ष्य के साथ परिचारक पर सर्वर पोर्ट पतों की एक श्रृंखला के लिए क्लाइंट अनुरोध भेजती है; यह अपने आप में एक नापाक प्रक्रिया नहीं है। पोर्ट स्कैन के अधिकांश उपयोग हमले नहीं हैं, बल्कि रिमोट मशीन पर उपलब्ध सेवाओं को निर्धारित करने के लिए सरल जांच हैं।

पोर्टस्वीप का अर्थ है एक विशिष्ट लिसनिंग पोर्ट के लिए कई मेजबानों को स्कैन करना। उत्तरार्द्ध का उपयोग सामान्यतौर पर एक विशिष्ट सेवा की खोज के लिए किया जाता है, उदाहरण के लिए, एक एसक्यूएल-आधारित कंप्यूटर कीड़ा प्रसारण नियंत्रण प्रोटोकॉल  पोर्ट 1433 पर सुनने वाले मेजबानों की तलाश में पोर्टस्वीप कर सकता है।

टीसीपी/आईपी मूल बातें

इंटरनेट का डिजाइन और संचालन इंटरनेट प्रोटोकॉल सूट पर आधारित है, जिसे सामान्यतौर पर टीसीपी/आईपी भी कहा जाता है। इस प्रणाली में, नेटवर्क सेवाओं को दो घटकों का उपयोग करके संदर्भित किया जाता है: एक परिचारक एड्रेस और एक पोर्ट नंबर। 65535 विशिष्ट और प्रयोग करने योग्य पोर्ट नंबर हैं, जिनकी संख्या 1..65535 है। (पोर्ट जीरो उपयोग करने योग्य पोर्ट नंबर नहीं है।) अधिकांश सेवाएं पोर्ट नंबरों की एक या अधिक से अधिक सीमित सीमा का उपयोग करती हैं।

कुछ पोर्ट स्कैनर किसी दिए गए परिचारक पर केवल सबसे सामान्य पोर्ट नंबरों को स्कैन करते हैं, या सामान्यतौर पर कमजोर सेवाओं से जुड़े पोर्ट्स को स्कैन करते हैं।

एक पोर्ट पर स्कैन का नतीजा सामान्यतौर पर तीन श्रेणियों में से एक में सामान्यीकृत होता है:
 * 1) खुला या स्वीकृत: परिचारक ने यह संकेत देते हुए उत्तर भेजा कि पोर्ट पर एक सेवा सुन रही है।
 * 2) बंद या अस्वीकृत या नहीं सुन रहा: मेजबान ने एक उत्तर भेजा है जो इंगित करता है कि पोर्ट के लिए कनेक्शन अस्वीकार कर दिए जाएंगे।
 * 3) फ़िल्टर्ड, ड्रॉप्ड या ब्लॉक किया गया: परिचारक की ओर से कोई जवाब नहीं आया।

खुले पोर्ट दो भेद्यताएँ प्रस्तुत करते हैं जिनसे सिस्टम प्रशासकों को सावधान रहना चाहिए:
 * 1) सेवा प्रदान करने के लिए जिम्मेदार कार्यक्रम से जुड़ी सुरक्षा और स्थिरता संबंधी चिंताएँ - खुले पोर्ट।
 * 2) परिचारक पर चल रहे प्रचालन तंत्र से जुड़ी सुरक्षा और स्थिरता की चिंता - खुले या बंद पोर्ट।

फ़िल्टर किए गए पोर्ट भेद्यता प्रस्तुत नहीं करते हैं।

अनुमान
पोर्ट स्कैनिंग के सभी प्रकार इस धारणा पर निर्भर करते हैं कि लक्षित परिचारक टिप्पणियों के लिए अनुरोध 793 - प्रसारण नियंत्रण संलेख(टीसीपी) का अनुपालन करता है। हालांकि यह अधिकतर समय होता है, फिर भी एक मौका होता है कि एक मेजबान अजीब पैकेट वापस भेज सकता है या झूठी सकारात्मक # टाइप I त्रुटि भी उत्पन्न कर सकता है जब मेजबान का टीसीपी/आईपी स्टैक गैर-आरएफसी-अनुरूप है या बदल दिया गया है. यह कम सामान्य स्कैन तकनीकों के लिए विशेष रूप से सच है जो प्रचालन तंत्र-निर्भर हैं (उदाहरण के लिए फिन स्कैनिंग)। टीसीपी/आईपी स्टैक फ़िंगरप्रिंटिंग विधि परिचारक द्वारा चलाए जा रहे प्रचालन तंत्र के प्रकार का अनुमान लगाने के लिए एक विशिष्ट प्रोत्साहन से इस प्रकार के विभिन्न नेटवर्क प्रतिक्रियाओं पर भी निर्भर करती है।

टीसीपी स्कैनिंग
सबसे सरल पोर्ट स्कैनर प्रचालन तंत्र के नेटवर्क क्रिया का उपयोग करते हैं और सामान्यतौर पर जाने के लिए अगला विकल्प होता है जब SYN व्यवहार्य विकल्प नहीं होता है (अगला वर्णन किया गया है)। Nmap इस मोड को कनेक्ट स्कैन कहता है, जिसका नाम यूनिक्स कनेक्ट सिस्टम कॉल के नाम पर रखा गया है। यदि कोई पोर्ट खुला है, तो प्रचालन तंत्र प्रसारण नियंत्रण प्रोटोकॉल को तीन-तरफ़ा हैंडशेक पूरा करता है, और पोर्ट स्कैनर सेवा से इनकार करने से बचने के लिए कनेक्शन को तुरंत बंद कर देता है। अन्यथा एक त्रुटि कोड दिया जाता है। इस स्कैन मोड का लाभ यह है कि उपयोगकर्ता को विशेष विशेषाधिकारों की आवश्यकता नहीं होती है। हालाँकि, OS नेटवर्क क्रिया का उपयोग निम्न-स्तरीय नियंत्रण को रोकता है, इसलिए यह स्कैन प्रकार कम सामान्य है। यह विधि शोर है, खासकर अगर यह एक पोर्टस्वीप है: सेवाएं प्रेषक आईपी पते को लॉग कर सकती हैं और घुसपैठ का पता लगाने वाली प्रणाली अलार्म उठा सकती है।

SYN स्कैनिंग
SYN (TCP) स्कैन TCP स्कैनिंग का दूसरा रूप है। प्रचालन तंत्र के नेटवर्क कार्यों का उपयोग करने के बजाय, पोर्ट स्कैनर स्वयं कच्चे आईपी पैकेट उत्पन्न करता है, और प्रतिक्रियाओं की निगरानी करता है। इस स्कैन प्रकार को अर्ध-खुली स्कैनिंग के रूप में भी जाना जाता है, क्योंकि यह वास्तव में पूर्ण टीसीपी कनेक्शन कभी नहीं खोलता है। पोर्ट स्कैनर एक SYN पैकेट उत्पन्न करता है। यदि लक्ष्य पोर्ट खुला है, तो यह SYN-ACK पैकेट के साथ प्रतिक्रिया करेगा। स्कैनर परिचारक एक RST पैकेट के साथ प्रतिक्रिया करता है, हैंडशेक पूरा होने से पहले कनेक्शन बंद कर देता है। अगर पोर्ट बंद है लेकिन फ़िल्टर नहीं किया गया है, तो लक्ष्य तुरंत आरएसटी पैकेट के साथ प्रतिक्रिया देगा।

कच्चे नेटवर्किंग के उपयोग के कई फायदे हैं, स्कैनर को भेजे गए पैकेटों का पूर्ण नियंत्रण और प्रतिक्रियाओं के लिए टाइमआउट, और प्रतिक्रियाओं की विस्तृत रिपोर्टिंग की अनुमति देता है। इस बात पर बहस चल रही है कि कौन सा स्कैन लक्ष्य परिचारक पर कम दखल दे रहा है। SYN स्कैन का लाभ यह है कि व्यक्तिगत सेवाओं को वास्तव में कभी कनेक्शन प्राप्त नहीं होता है। हालाँकि, हैंडशेक के दौरान RST कुछ नेटवर्क स्टैक के लिए समस्याएँ पैदा कर सकता है, विशेष रूप से प्रिंटर जैसे सरल उपकरणों में। किसी भी तरह से कोई निर्णायक तर्क नहीं हैं।

यूडीपी स्कैनिंग
यूडीपी स्कैनिंग भी संभव है, हालांकि तकनीकी चुनौतियां हैं। उपयोगकर्ता डेटाग्राम प्रोटेकॉलका उपयोग करें संयोजन रहित प्रोटोकॉल है, इसलिए टीसीपी एसवाईएन पैकेट के बराबर नहीं है। हालाँकि, यदि एक UDP पैकेट एक ऐसे पोर्ट पर भेजा जाता है जो खुला नहीं है, तो सिस्टम एक इंटरनेट नियंत्रण संदेश प्रोटोकॉल  पोर्ट अगम्य संदेश के साथ प्रतिक्रिया देगा। अधिकांश यूडीपी पोर्ट स्कैनर इस स्कैनिंग विधि का उपयोग करते हैं, और प्रतिक्रिया की अनुपस्थिति का अनुमान लगाने के लिए उपयोग करते हैं कि पोर्ट खुला है। हालाँकि, यदि फ़ायरवॉल (कंप्यूटिंग) द्वारा पोर्ट को ब्लॉक किया गया है, तो यह विधि गलत तरीके से रिपोर्ट करेगी कि पोर्ट खुला है। यदि पोर्ट अगम्य संदेश अवरुद्ध है, तो सभी पोर्ट खुले दिखाई देंगे। यह विधि ICMP दर सीमित करने से भी प्रभावित होती है। एक वैकल्पिक दृष्टिकोण अनुप्रयोग-विशिष्ट UDP पैकेट भेजना है, जो एक अनुप्रयोग परत प्रतिक्रिया उत्पन्न करने की आशा करता है। उदाहरण के लिए, यदि DNS सर्वर मौजूद है, तो पोर्ट 53 पर DNS क्वेरी भेजने से प्रतिक्रिया प्राप्त होगी। खुले पोर्टों की पहचान करने में यह विधि अधिक विश्वसनीय है। हालांकि, यह स्कैनिंग पोर्ट तक सीमित है जिसके लिए एक अनुप्रयोग विशिष्ट जांच पैकेट उपलब्ध है। कुछ उपकरण (जैसे, Nmap, Unionscan ) सामान्यतौर पर 20 से कम यूडीपी सेवाओं के लिए जांच होती है, जबकि कुछ वाणिज्यिक उपकरणों के पास 70 तक होते हैं। कुछ मामलों में, एक सेवा पोर्ट पर सुन रही हो सकती है, लेकिन विशेष जांच पैकेट का जवाब नहीं देने के लिए कॉन्फ़िगर किया गया है।

एसीके स्कैनिंग
ACK स्कैनिंग अधिक असामान्य स्कैन प्रकारों में से एक है, क्योंकि यह सटीक रूप से यह निर्धारित नहीं करता है कि पोर्ट खुला है या बंद है, लेकिन पोर्ट फ़िल्टर किया गया है या फ़िल्टर नहीं किया गया है। फ़ायरवॉल और उसके नियमों के अस्तित्व की जांच करने का प्रयास करते समय यह विशेष रूप से अच्छा होता है। सरल पैकेट फ़िल्टरिंग स्थापित कनेक्शन (ACK बिट सेट वाले पैकेट) की अनुमति देगा, जबकि एक अधिक परिष्कृत स्टेटफुल फ़ायरवॉल नहीं हो सकता है।

विंडो स्कैनिंग

इसकी पुरानी प्रकृति के कारण शायद ही कभी उपयोग किया जाता है, विंडो स्कैनिंग यह निर्धारित करने में काफी अविश्वसनीय है कि पोर्ट खोला या बंद है या नहीं। यह एसीके स्कैन के समान पैकेट उत्पन्न करता है, लेकिन यह जांचता है कि पैकेट के विंडो क्षेत्र को संशोधित किया गया है या नहीं। जब पैकेट अपने गंतव्य तक पहुंचता है, तो एक डिज़ाइन दोष पैकेट के लिए विंडो आकार बनाने का प्रयास करता है यदि पोर्ट खुला है, पैकेट के विंडो फ़ील्ड को प्रेषक को वापस करने से पहले 1 के साथ फ़्लैग करना। सिस्टम के साथ इस स्कैनिंग तकनीक का उपयोग करना जो अब इस कार्यान्वयन का समर्थन नहीं करता है, विंडो फ़ील्ड के लिए 0 देता है, खुले पोर्टों को बंद के रूप में लेबल करता है।

फिन स्कैनिंग

चूँकि SYN स्कैन पर्याप्त रूप से गुप्त नहीं होते हैं, फ़ायरवॉल सामान्य रूप से SYN पैकेट के रूप में पैकेट को स्कैन करने और ब्लॉक करने के लिए होते हैं। फिन (टीसीपी) बिना संशोधन के फायरवॉल को बायपास कर सकता है। बंद पोर्ट उपयुक्त RST पैकेट के साथ एक FIN पैकेट का जवाब देते हैं, जबकि खुले पोर्ट हाथ में पैकेट को अनदेखा करते हैं। टीसीपी की प्रकृति के कारण यह विशिष्ट व्यवहार है, और कुछ मायनों में एक अपरिहार्य गिरावट है।

अन्य स्कैन प्रकार

कुछ और असामान्य स्कैन प्रकार मौजूद हैं। इनकी विभिन्न सीमाएँ हैं और व्यापक रूप से उपयोग नहीं की जाती हैं। एनएमएपी इनमें से अधिकतर का समर्थन करता है। * क्रिसमस पोर्ट स्कैन|एक्स-मास और नल स्कैन - #फिन स्कैनिंग के समान हैं, लेकिन: ** एक्स-मास क्रिसमस ट्री की तरह फिन, यूआरजी और पुश फ्लैग के साथ पैकेट भेजता है
 * नल एक पैकेट भेजता है जिसमें कोई टीसीपी फ्लैग सेट नहीं होता है
 * प्रोटोकॉल स्कैन - यह निर्धारित करता है कि कौन से आईपी स्तर के प्रोटोकॉल (टीसीपी, यूडीपी, जेनेरिक रूटिंग एनकैप्सुलेशन, आदि) सक्षम हैं।
 * प्रॉक्सी सर्वर स्कैन - स्कैन करने के लिए एक प्रॉक्सी (SOCKS या HTTP) का उपयोग किया जाता है। लक्ष्य प्रॉक्सी के आईपी पते को स्रोत के रूप में देखेगा। यह कुछ फाइल ट्रांसफर प्रोटोकॉल सर्वरों का उपयोग करके भी किया जा सकता है।
 * निष्क्रिय स्कैन - किसी के आईपी पते को प्रकट किए बिना स्कैन करने की एक अन्य विधि, अनुमानित आईपी आईडी दोष का लाभ उठाते हुए।
 * CatSCAN - गलत पैकेट के लिए पोर्ट की जाँच करता है।
 * इंटरनेट कंट्रोल मैसेज प्रोटोकॉल स्कैन - यह निर्धारित करता है कि परिचारक आईसीएमपी अनुरोधों का जवाब देता है, जैसे इको ( पिंग (नेटवर्किंग उपयोगिता) ), नेटमास्क, आदि।

आईएसपी द्वारा पोर्ट फ़िल्टरिंग
कई इंटरनेट सेवा प्रदाता अपने ग्राहकों की उनके घरेलू नेटवर्क के बाहर के गंतव्यों तक पोर्ट स्कैन करने की क्षमता को प्रतिबंधित करते हैं। यह सामान्यतौर पर सेवा की शर्तों या स्वीकार्य उपयोग नीति में शामिल होता है जिससे ग्राहक को सहमत होना चाहिए। कुछ आईएसपी पैकेट फिल्टर या पारदर्शी प्रॉक्सी लागू करते हैं जो कुछ पोर्टों के लिए आउटगोइंग सेवा अनुरोधों को रोकते हैं। उदाहरण के लिए, यदि कोई ISP पोर्ट 80 पर एक पारदर्शी HTTP प्रॉक्सी प्रदान करता है, तो लक्ष्य परिचारक के वास्तविक कॉन्फ़िगरेशन की परवाह किए बिना, किसी भी पते का पोर्ट स्कैन पोर्ट 80 खुला हुआ दिखाई देगा।

नैतिकता
पोर्ट स्कैन द्वारा एकत्रित की गई जानकारी के नेटवर्क इन्वेंट्री और नेटवर्क की सुरक्षा के सत्यापन सहित कई वैध उपयोग हैं। हालाँकि, पोर्ट स्कैनिंग का उपयोग सुरक्षा से समझौता करने के लिए भी किया जा सकता है। बफ़र अधिकता  के रूप में ज्ञात स्थिति को ट्रिगर करने के प्रयास में खुले पोर्टों को खोजने और विशिष्ट डेटा पैटर्न भेजने के लिए कई शोषण पोर्ट स्कैन पर भरोसा करते हैं। ऐसा व्यवहार किसी नेटवर्क और उसमें मौजूद कंप्यूटरों की सुरक्षा से समझौता कर सकता है, जिसके परिणामस्वरूप संवेदनशील जानकारी और कार्य करने की क्षमता का नुकसान या जोखिम होता है।

पोर्ट स्कैन के कारण होने वाले खतरे का स्तर स्कैन करने के लिए उपयोग की जाने वाली विधि, स्कैन किए गए पोर्ट के प्रकार, उसकी संख्या, लक्षित परिचारक के मूल्य और परिचारक की निगरानी करने वाले व्यवस्थापक के अनुसार बहुत भिन्न हो सकता है। लेकिन पोर्ट स्कैन को अक्सर हमले के पहले चरण के रूप में देखा जाता है, और इसलिए इसे गंभीरता से लिया जाता है क्योंकि यह मेजबान के बारे में बहुत संवेदनशील जानकारी प्रकट कर सकता है। इसके प्रतिकूल, वास्तविक हमले के बाद अकेले पोर्ट स्कैन की संभावना कम है। जब पोर्ट स्कैन भेद्यता स्कैनर  से जुड़ा होता है तो हमले की संभावना बहुत अधिक होती है।

कानूनी निहितार्थ

इंटरनेट के स्वाभाविक रूप से खुले और विकेन्द्रीकृत वास्तुकला के कारण, सांसदों ने कानूनी सीमाओं को परिभाषित करने के लिए इसके निर्माण के बाद से संघर्ष किया है जो कंप्यूटर अपराध के प्रभावी अभियोजन की अनुमति देता है। पोर्ट स्कैनिंग गतिविधियों से जुड़े मामले उल्लंघनों का न्याय करने में आने वाली कठिनाइयों का एक उदाहरण हैं। हालांकि ये मामले दुर्लभ हैं, अधिकांश समय कानूनी प्रक्रिया में यह साबित करना शामिल होता है कि पोर्ट स्कैन के प्रदर्शन के बजाय, ब्रेक-इन या अनधिकृत पहुंच का इरादा मौजूद है।

जून 2003 में, एक इज़राइली, एवी मिज़राही, पर इज़राइली अधिकारियों द्वारा कंप्यूटर सामग्री के अनधिकृत उपयोग के प्रयास के अपराध का आरोप लगाया गया था। उसने मोसाद की वेबसाइट स्कैन की थी। 29 फरवरी, 2004 को उन्हें सभी आरोपों से बरी कर दिया गया। न्यायाधीश ने फैसला सुनाया कि इस प्रकार के कार्यों को सकारात्मक तरीके से किए जाने पर हतोत्साहित नहीं किया जाना चाहिए। एक 17 वर्षीय फिन पर फिनलैंड के एक प्रमुख बैंक द्वारा कंप्यूटर में सेंध लगाने के प्रयास का आरोप लगाया गया था। 9 अप्रैल, 2003 को, उन्हें फ़िनलैंड के सर्वोच्च न्यायालय द्वारा आरोप का दोषी ठहराया गया और बैंक द्वारा किए गए फोरेंसिक विश्लेषण के खर्च के लिए 12,000 अमेरिकी डॉलर का भुगतान करने का आदेश दिया गया। 1998 में, उन्होंने बंद नेटवर्क तक पहुँचने के प्रयास में बैंक नेटवर्क को स्कैन किया था, लेकिन ऐसा करने में असफल रहे। 2006 में, यूके की संसद ने कंप्यूटर दुरुपयोग अधिनियम 1990 में एक संशोधन के लिए मतदान किया था, जैसे कि एक व्यक्ति अपराध का दोषी है जो किसी भी लेख को बनाता है, अनुकूलित करता है, आपूर्ति करता है या आपूर्ति करने की पेशकश करता है, यह जानते हुए कि इसे उपयोग के लिए डिज़ाइन या अनुकूलित किया गया है। या धारा 1 या 3 [सीएमए] के तहत एक अपराध के संबंध में। फिर भी, इस संशोधन के प्रभाव का क्षेत्र धुंधला है, और सुरक्षा विशेषज्ञों द्वारा व्यापक रूप से इसकी आलोचना की जाती है। जर्मनी, आपराधिक संहिता § 202ए, बी, सी के साथ भी एक समान कानून है, और यूरोपीय संघ की परिषद ने एक प्रेस विज्ञप्ति जारी की है जिसमें कहा गया है कि वे एक समान भी पारित करने की योजना बना रहे हैं, यद्यपि अधिक सटीक।

संयुक्त राज्य

मौलटन बनाम वीसी3
दिसंबर 1999 में, स्कॉट मौलटन को एफबीआई द्वारा गिरफ्तार किया गया था और जॉर्जिया के कंप्यूटर सिस्टम्स प्रोटेक्शन एक्ट और कंप्यूटर धोखाधड़ी # संयुक्त राज्य अमेरिका के तहत कंप्यूटर अतिचार का प्रयास करने का आरोप लगाया गया था। इस समय, उनकी आईटी सेवा कंपनी का 911 केंद्र सुरक्षा को बनाए रखने और उन्नत करने के लिए जॉर्जिया के चेरोकी काउंटी के साथ एक अनुबंध चल रहा था। उन्होंने अपनी सुरक्षा की जांच करने के लिए चेरोकी काउंटी सर्वर पर कई पोर्ट स्कैन किए और अंततः एक अन्य आईटी कंपनी द्वारा मॉनिटर किए गए एक वेब सर्वर को स्कैन किया, जिससे एक ट्रिब्यूनल में समाप्त हो गया। उन्हें 2000 में Moulton बनाम VC3 (जॉर्जिया के उत्तरी जिले के लिए संयुक्त राज्य जिला न्यायालय|N.D.{{nbsp}यहाँ। 2000) कि नेटवर्क की अखंडता और उपलब्धता को कोई नुकसान नहीं हुआ है।

यह भी देखें


 * सामग्री वेक्टरिंग प्रोटोकॉल
 * टीसीपी और यूडीपी पोर्ट नंबरों की सूची
 * सेवा स्कैन

बाहरी संबंध

 * Teo, Lawrence (December, 2000). Network Probes Explained: Understanding Port Scans and Ping Sweeps. Linux Journal, Retrieved September 5, 2009, from Linuxjournal.com