Port scanning, česky skenování portů, je jednou z nejběžnějších a zároveň nejzákladnějších technik používaných při analýze síťového prostředí. V podstatě se jedná o způsob, jak zjistit, které síťové porty na určitém zařízení (např. serveru nebo počítači) jsou otevřené a naslouchají příchozím spojením. To může být užitečné jak pro správce sítí při zabezpečování systémů, tak i pro útočníky, kteří se snaží najít slabiny.
Co jsou to porty?
Porty slouží jako „dveře“ pro jednotlivé služby běžící na zařízení. Každý port (číslovaný od 0 do 65535) je přiřazen určitému protokolu nebo aplikaci. Například:
Port 80 – HTTP (webový provoz)
Port 443 – HTTPS (šifrovaný webový provoz)
Port 22 – SSH (vzdálená správa serverů)
Otevřený port znamená, že daná služba na zařízení je dostupná zvenčí a může přijímat požadavky.
Jak funguje port scanning?
Port scanning spočívá v odesílání síťových paketů na různé porty cílového zařízení a analýze odpovědí. Podle toho lze poznat, zda je port:
Otevřený (open) – reaguje na dotaz a je aktivní
Zavřený (closed) – zařízení odpoví, že port není otevřen
Filtrován (filtered) – port neodpovídá (může být blokován firewallem)
Nejběžnější nástroje pro skenování portů jsou např. Nmap, Masscan nebo Angry IP Scanner.
Typy port skenování
Existuje několik různých typů skenování, z nichž každý má své výhody:
TCP Connect Scan – klasické spojení přes TCP handshake; snadno detekovatelné
SYN Scan – rychlé a nenápadné („poloviční“ handshake), často používané při penetračních testech
UDP Scan – složitější, protože UDP nemá potvrzovací mechanismus; často pomalejší a méně přesné
Stealth Scan – pokusy o obcházení detekce pomocí netradičních technik
Je port scanning legální?
Port scanning není sám o sobě nelegální, ale může být považován za podezřelou aktivitu. V mnoha případech záleží na kontextu:
Administrátor sítě může skenovat vlastní systémy jako součást bezpečnostní kontroly.
Penetrační tester skenuje síť s vědomím a svolením klienta.
Útočník používá scanning jako součást průzkumu před útokem – v tomto případě jde už o neautorizované zjišťování informací, které může být považováno za pokus o neoprávněný přístup.
Port scanning v praxi
V reálném světě je port scanning často prvním krokem útoku. Mnoho botnetů a malware nástrojů automaticky skenuje internet v hledání zařízení s otevřenými zranitelnými porty. Například:
Mirai botnet v roce 2016 skenoval internet na hledání chytrých zařízení s otevřeným Telnet portem (23) a slabými hesly. Tisíce IoT zařízení bylo poté zneužito k masivním DDoS útokům.
Zároveň je to ale i běžná obranná technika. Organizace pravidelně skenují vlastní infrastrukturu, aby věděly, jak vypadá z pohledu útočníka a mohly včas reagovat na rizika.
Port scanning je jako digitální průzkum terénu – může být nástrojem pro obranu i útok. Správně prováděný port scanning v rámci správy IT bezpečnosti pomáhá chránit systémy a předcházet bezpečnostním incidentům. Na druhou stranu, pokud je prováděn neoprávněně, může být vnímán jako předzvěst pokusu o průnik.
