Перейти к основному содержимому

Portscan (Мониторинг портов)

Бета-версия

Проверки сканирования портов находятся в стадии бета-тестирования. Мы активно работаем над улучшением функциональности и будем рады любой обратной связи. Пожалуйста, делитесь вашими впечатлениями, предложениями и сообщениями об ошибках через нашу службу поддержки.

Проверки портов

Portscan проверки позволяют сканировать и мониторить открытые порты на ваших серверах с использованием nmap. Это мощный инструмент для обнаружения уязвимостей, аудита безопасности и контроля состояния сетевых сервисов.

Проверки сканирования портов особенно полезны для:

  • Аудита безопасности: Обнаружение незащищённых или нежелательных открытых портов.
  • Мониторинга сервисов: Проверка доступности и версий запущенных сервисов.
  • Обнаружения уязвимостей: Выявление потенциальных угроз безопасности через анализ открытых портов и их сервисов.
  • Контроля изменений: Отслеживание изменений в конфигурации сетевых сервисов.

Создание Portscan проверки

Основные параметры

При создании проверки сканирования портов необходимо указать следующие обязательные поля:

  • Хост (host) — доменное имя или IPv4/IPv6 адрес целевого сервера.
  • Интервал (interval) — частота выполнения проверки в секундах (минимум 30).
  • Таймаут (timeout) — максимальное время ожидания выполнения сканирования в секундах. Максимальное значение таймаута для portscan проверок составляет 3 минуты (180 секунд).

Дополнительные параметры сканирования

Настройки портов и типа сканирования

  • Порты (ports) — спецификация портов для сканирования (по умолчанию: 'top-ports:100').
    • Примеры: '80,443', '1-1000', 'top-ports:100', '1-65535' (все порты).
  • Тип сканирования (scan_type) — метод сканирования (по умолчанию: 'syn'):
    • 'syn' — SYN-сканирование (быстрое, незаметное).
    • 'connect' — TCP Connect сканирование (полное соединение).
    • 'udp' — UDP-сканирование.

Обнаружение и анализ

  • Определение сервиса (service_detection) — включить определение версии сервиса (по умолчанию: true).

Настройки производительности

  • Шаблон времени (timing) — шаблон скорости сканирования T0-T5 (по умолчанию: 'T3'):
    • T0 — Paranoid (самый медленный, скрытный).
    • T1 — Sneaky (медленный).
    • T2 — Polite (вежливый).
    • T3 — Normal (нормальный, по умолчанию).
    • T4 — Aggressive (агрессивный).
    • T5 — Insane (самый быстрый, может быть ненадёжным).
  • Таймаут хоста (host_timeout) — максимальное время на один хост (по умолчанию: '5m').
  • Минимальный параллелизм (min_parallelism) — минимальное количество параллельных проб (положительное целое число, по умолчанию: 100).
  • Максимальный таймаут RTT (max_rtt_timeout) — максимальное время ожидания ответа на пробу (например, '100ms', '2s').

Условия (Assertions)

  • Проверка уязвимостей (fail_on_vulnerabilities) — считать проверку неуспешной при обнаружении любых уязвимостей.
  • Минимальный уровень риска (min_risk_level) — минимальный уровень риска для неуспешной проверки:
    • 'critical' — критический.
    • 'high' — высокий.
    • 'medium' — средний.
    • 'low' — низкий.
    • 'info' — информационный.
  • Ожидаемые открытые порты (expected_open_ports) — массив номеров портов, которые должны быть открыты.

Результаты проверки

После выполнения Portscan проверки вы получите подробный отчёт со следующей информацией:

Основные метрики

  • Статус — результат проверки: ok (успешно) или failed (ошибка).
  • Время отклика — общее время выполнения сканирования в миллисекундах.

Детальная информация

  • Целевой хост (target) — сканируемый хост.
  • Время выполнения (execution_time) — время выполнения в миллисекундах.
  • Результаты сканирования (scan_results) — массив результатов для каждого обнаруженного хоста:
    • IP-адрес — обнаруженный IP-адрес.
    • Имя хоста — имя хоста (если определено).
    • Состояние — состояние хоста (up или down).
    • Открытые порты (open_ports) — список открытых портов с информацией:
      • Номер порта.
      • Протокол (TCP/UDP).
      • Сервис.
      • Версия сервиса.
      • Продукт.
      • Дополнительная информация.
  • Сводка (summary):
    • Всего хостов.
    • Хостов в сети.
    • Хостов не в сети.
    • Всего открытых портов.
  • Уязвимости (vulnerabilities) — список обнаруженных уязвимостей:
    • Порт.
    • Сервис.
    • Уровень риска.
    • Описание.
    • Обнаруженная версия.

Рекомендации по оптимизации сканирования

Избежание таймаутов

Сканирование всех портов (1-65535) занимает значительное время и имеет высокий риск таймаута. Для избежания таймаутов:

  1. Выбирайте регион ближе к целевому хосту — это уменьшит задержку сети и ускорит сканирование. Подробнее про регионы.
  2. Учитывайте производительность сети целевого хоста — если у хоста слабая сеть, сканирование займёт больше времени и может превысить лимит таймаута.
  3. Увеличьте значение таймаута — установите достаточный таймаут для полного сканирования.

Быстрое сканирование без детального анализа

Если вам нужно быстро обнаружить открытые порты без определения сервисов и поиска уязвимостей:

  1. Используйте SYN-сканирование — установите scan_type: 'syn'.
  2. Отключите определение сервисов — установите service_detection: false.
  3. Увеличьте параллелизм — установите более высокое значение min_parallelism (например, 200-500).
  4. Используйте агрессивный режим — установите timing: 'T4' или 'T5'.

После обнаружения открытых портов вы можете настроить более детальное сканирование с включенным определением сервисов и оценкой уязвимостей для конкретных портов.

Справочная информация

Для получения подробной информации о значении флагов и параметров nmap обратитесь к официальной документации nmap.

Тарификация

Проверки сканирования портов используют 10 кредитов за одно выполнение. При использовании параллельного выполнения в нескольких регионах кредиты списываются за каждый регион отдельно.