Программа для проверки портов windows

Сканирование портов — важная часть сетевой безопасности, так как оно помогает выявить потенциальные угрозы и слабые места в инфраструктуре. В этой статье мы рассмотрим 10 лучших программ для сканирования портов, которые помогут как профессионалам, так и новичкам. В конце статьи мы также представим сервис ScaniteX — уникальное решение для массового автоматического сканирования портов.

Содержание

• 1. Nmap
• 2. Masscan
• 3. Angry IP Scanner
• 4. ZMap
• 5. Advanced Port Scanner
• 6. Netcat
• 7. Hping
• 8. SuperScan
• 9. Unicornscan
• 10. ScaniteX

1. Nmap

Когда речь заходит о сканировании портов, первое имя, которое приходит на ум — это Nmap (Network Mapper). Это открытый и мощный инструмент для обнаружения узлов и сервисов в сети. Он поддерживает различные методы сканирования, включая TCP SYN, TCP Connect, и UDP сканирование.

Установка Nmap

sudo apt-get install nmap

После установки, чтобы начать сканирование всех открытых портов на определённом хосте, выполните команду:

nmap -sT -p- 192.168.1.1

Подробности о проекте Nmap можно узнать на официальном сайте.

2. Masscan

Masscan — это сверхбыстрый инструмент для сканирования портов, способный сканировать весь интернет за считанные минуты. Он отлично подходит для массового сбора данных и может работать параллельно с Nmap.

Установка Masscan

sudo apt-get install masscan

Чтобы начать быстрое сканирование, можно воспользоваться следующей командой:

masscan -p80,443 0.0.0.0/0 --rate=100000

3. Angry IP Scanner

Angry IP Scanner — это простой и удобный в использовании инструмент, который позволяет сканировать сети на наличие активных узлов и открытых портов. Поддерживает многопоточность, что ускоряет процесс сканирования.

Скачать его можно здесь.

4. ZMap

ZMap — это инструмент с открытым исходным кодом, предназначенный для быстрого сетевого сканирования. Он был разработан для того, чтобы облегчить исследование интернета и поддерживает сканирование по протоколам TCP, UDP и ICMP.

Установите ZMap с помощью следующей команды:

sudo apt-get install zmap

5. Advanced Port Scanner

Advanced Port Scanner — это бесплатный инструмент, который позволяет быстро находить открытые порты на сетевых устройствах. Поддерживает работу с Windows.

Скачать его можно здесь.

6. Netcat

Netcat — это «швейцарский нож» для сетевых администраторов. Он позволяет не только сканировать порты, но и прослушивать их, отправлять данные, а также служить диагностическим инструментом.

Установка Netcat

sudo apt-get install netcat

7. Hping

Hping — это утилита для работы с пакетами TCP/IP. Она используется для тестирования сетевой безопасности и может выполнять такие задачи, как сканирование портов и анализ сетевых маршрутов.

8. SuperScan

SuperScan — это мощный инструмент для сканирования TCP и UDP портов. Он отлично подходит для использования на платформах Windows.

Его можно скачать здесь.

9. Unicornscan

Unicornscan — это высокоэффективный инструмент для сканирования сетей, который поддерживает сбор данных о сетевых сервисах и протоколах на больших диапазонах IP.

Установите Unicornscan с помощью команды:

sudo apt-get install unicornscan

10. ScaniteX

ScaniteX — это современное решение для массового автоматизированного сканирования портов. Оно объединяет возможности Masscan и Nmap для достижения высочайшей скорости и точности. Этот сервис позволяет пользователям сканировать десятки тысяч IP адресов одновременно и выгружать результаты в удобных форматах, таких как TXT (ip:port), CSV и JSON

Преимущества ScaniteX:

• Массовое сканирование тысяч IP в считанные минуты.
• Выгрузка результатов в различные форматы.
• Использование мощных технологий автоматизации (Masscan + Nmap).
• Поддержка всех популярных протоколов (TCP, UDP).

Подробнее об этом сервисе вы можете узнать на официальном сайте ScaniteX.

«Кто владеет информацией — тот владеет миром.» — Натан Ротшильд

Выводы

В этой статье мы рассмотрели 10 лучших программ для сканирования портов. Среди них такие классические инструменты, как Nmap и Masscan, а также уникальные решения, такие как ScaniteX. Все эти инструменты имеют свои особенности и преимущества, что делает их подходящими для различных задач, от сетевого аудита до массового анализа интернет-инфраструктуры.

Сканирование портов — важный этап в обеспечении безопасности сети, и выбор правильного инструмента имеет ключевое значение. Мы надеемся, что этот обзор поможет вам выбрать подходящий инструмент для ваших нужд.

Просмотров: 1 556

Скажем «Стоп!» враждебным программам!

Среди вопросов, на которые часто приходится отвечать специалистам в области безопасности, есть такой: «Если я обнаружил на своей системе открытый порт, означает ли это, что у меня уже появился «троянский конь»?». Всевозможными вариациями на эту тему пестрят списки почтовых рассылок по проблемам безопасности, и на все подобные вопросы неизменно следует один ответ: проследите номер порта до той программы, которая открыла его, и исследуйте эту программу. Процесс трассировки открытого порта до открывшей его программы именуется поиском соответствия. Разумеется, такой ответ предполагает, что пользователь достаточно хорошо разбирается во всем, что касается номеров портов, что у него имеется подходящее средство для получения списка открытых портов и что он может определить, является ли найденная программа опасной. Рассмотрим сначала проблему выявления открытых портов в общих чертах, а затем я представлю 11 средств проверки портов для среды Windows.

Пособие по протоколам TCP/UDP

Чтобы исследовать состояние портов, нужно иметь некоторое представление о протоколе TCP/IP и сетевых соединениях. В настоящее время для организации связи между компьютерами почти повсеместно используется сетевой протокол TCP/IP. Два важнейших транспортных протокола верхнего уровня TCP/IP (Open System Interconnection, OSI, Layer 4) — это TCP и UDP. На один из этих двух протоколов обычно возлагается задача передачи информации, которой обмениваются два компьютера (или два процесса на одной системе). Функцию маршрутизации пакетов от одного компьютера к другому как TCP, так и UDP препоручают протоколу IP низшего уровня. Среди прочих данных заголовок IP-пакета содержит исходный IP-адрес, а также IP-адрес назначения (или, когда это необходимо, групповые либо широковещательные адреса) двух компьютеров, а также номер протокола (скажем, 6 для TCP и 17 для UDP). Протокол нижнего уровня — IP — осуществляет маршрутизацию пакета по логической сети от исходного устройства к устройству-получателю. Когда пакет прибывает в пункт назначения, ассоциированный с сетевой интерфейсной платой стек IP удаляет кадр пакета IP и исследует протокол верхнего уровня (т. е. TCP или UDP). О различиях между протоколами TCP и UDP рассказано во врезке «UDP и TCP».

О портах

Пакеты TCP и UDP содержат номера исходного порта и порта назначения. Порт — это точка ввода/вывода, связывающая сеть с приложением (или со службой либо демоном). Порты имеют номера от 0 до 65535. Такая схема нумерации выбрана потому, что в заголовках пакетов TCP и UDP на номера исходных портов и портов назначения выделяется 16 (216) разрядов (216 соответствует 65336 возможным номерам портов). Нумерация точек ввода/вывода — удобный способ, позволяющий как компьютерам, так и пользователям следить за тем, какой порт какой программе принадлежит.

Еще на заре эпохи Internet организация Internet Assigned Numbers Authority (IANA), ответственная за распределение номеров, решила зарезервировать первые 1024 номера портов (т. е. номера от 0 до 1023) для направляющих запросы объектов. IANA назначает эти так называемые хорошо известные номера портов (некоторые типичные хорошо известные номера портов приведены в табл. 1). Хотя почти все списки хорошо известных номеров портов ныне устарели и уже не являются на 100% точными, популярные номера портов для наиболее широко распространенных служб и протоколов остаются неизменными на протяжении более 10 лет.

Номера портов от 1024 до 49151 называются зарегистрированными номерами портов, а порты от 49152 до 65535 именуются динамическими или частными номерами портов. На практике порты от 1024 до 65535 генерируются динамически, и ими может пользоваться любая прикладная программа. Когда запускается какая-либо прикладная программа или служба, она обычно выясняет, можно ли использовать тот или иной номер порта, и если номер еще не занят, эта программа либо служба открывает данный порт. Номера портов, открываемых приложением, могут всегда быть одними и теми же, но могут и генерироваться произвольно. Чем популярнее приложение, тем выше вероятность того, что разработчики программных средств для Internet дадут этой программе возможность пользоваться эксклюзивным номером порта. В табл. 2 приводятся некоторые номера портов для популярных приложений, а табл. 3 содержит список типичных номеров портов для Windows.

Пример коммуникации

Важно понимать, что порт происхождения и порт назначения — это не одно и то же. В большинстве случаев, когда администратор анализирует трафик порта, его интересуют номера портов назначения. Порт назначения — это обычно хорошо известный порт, тогда как порты происхождения (иначе говоря, исходные порты) могут иметь произвольно сгенерированные номера свыше 1023. На практике, однако, произвольные номера генерируются обычно в диапазоне от 1024 до 3000. Так, когда пользователь с помощью браузера Microsoft Internet Explorer (IE) соединяется с Web-сайтом, порт назначения имеет номер 80, тогда как номер порта происхождения является случайно сгенерированным числом. На рисунке представлен демонстрационный сеанс, который был начат, когда мой браузер установил связь с узлом http://www.secadministrator.com. IP-адрес назначения — 63.88.172.127, а номер порта — TCP 80. IP-адрес системы происхождения — 192.168.168.160, а номер порта — TCP 2335.

Частный IP-адрес 192.168.168.160 указан потому, что мой компьютер расположен за брандмауэром, который соединяет его с Internet с присвоением общедоступного IP-адреса. При каждом установленном посредством браузера соединении или обновлении генерируется новый (обычно выраженный имеющим большее значение числом) номер исходного порта. Кроме того, поскольку на Web-странице могут быть встроенные ссылки и рекламные объявления, размещенные на других Web-сайтах, одна страница браузера может иметь несколько открытых портовых соединений; все они могут указывать на один и тот же IP-адрес или на различные IP-адреса.

Тайна Svchost

Кроме того, Windows 2000 и более поздние версии операционной системы открывают многие другие порты (например, 500 или 123), которые предназначены для службы svchost.exe. Этот генерируемый процесс размещается в папке \%windir%system32. Он запускается всякий раз, когда Windows инициализирует и загружает в память одну или несколько служб, определенных в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost.

В процессе выявления открытых портов администраторы часто обнаруживают, что инициатором открытия нескольких отдельных портов является служба svchost.exe. К примеру, сейчас, когда я пишу эту статью, svchost.exe загружена в память моего компьютера четыре раза; она поддерживает службы RPCSS, EventSystem, Netman, NtmsSvc, RasMan, SENS, а также TapiSrv и открыла порты 123, 135, 1025, 1026, 1900 и 5000. В процессе поиска вредоносных программ, возможно, вас будет согревать мысль о том, что порты, связанные с svchost.exe, недоступны для тех, кто замышляет недоброе. Впрочем, разумеется, нельзя исключать возможность внешних атак против этих портов (например, атак, использующих вызовы удаленных процедур, RPC).

Порты «троянских коней»

Мы знаем, что есть программы, использующие хорошо известные порты, и что есть порты, активно применяемые системой Windows. «Троянские» программы тоже часто используют определенные номера портов. К сожалению, счет широко распространенных «троянский коней» идет уже на сотни, так что описать их в одной статье невозможно. Но тем, кто собирается выявлять вредоносные программы с помощью утилиты, выводящей список открытых портов, будет полезно иметь под рукой список портов «троянских коней» на тот случай, если попадутся незнакомые номера портов. Со списком Web-сайтов, где размещаются полные списки портов «троянских коней», можно ознакомиться во врезке «Ресурсы, посвященные портам «троянских коней»».

Поскольку портам свыше 1023 номера официально не назначаются, такие номера могут использоваться любой программой. Чаще всего программы задействуют порты по принципу «первым пришел — первым обслужили». Поэтому, если для новой программы разработчик использует номер порта популярной программы, возможно, эта новая программа не будет функционировать корректно. Две программы могут одновременно пользоваться одним и тем же портом, но если это не предусмотрено в коде, они могут конфликтовать друг с другом. Если два приложения пользуются одним и тем же портом, протоколы TCP и UDP могут «потерять ориентировку» и в сети возникнут проблемы со связью. Однако известно, что некоторые программы, в том числе вредоносные, внедряются в компьютерные системы таким образом, что получают возможность использовать тот или иной порт совместно с другой программой.

Две программы одним и тем же номером порта пользоваться не должны. Порт 80 — важное исключение из этого правила. В большинстве брандмауэров данный порт открыт; это необходимо для того, чтобы клиенты могли исследовать ресурсы Web. Многие программы направляют свой трафик через порт 80 с тем, чтобы обойти экраны сетевой защиты. Так, программы мгновенного обмена сообщениями часто автоматически направляют свой трафик на порт 80 (с использованием протокола HTTP), если их стандартные порты заблокированы. Эти программы могут даже содержать подпрограммы, сканирующие брандмауэры в поисках открытых портов для исходящего трафика, которые они могут использовать.

Netstat

Во всех версиях Windows, начиная с Windows 95 (и включая Windows 3.11 с дополнительным модулем Microsoft TCP/IP32), имеется добротная утилита TCP/IP, именуемая Netstat. Она была разработана (как для Windows, так и для UNIX) еще в начале эпохи Internet. С помощью Netstat можно определить, какие порты UDP и TCP открыты и активны. Более подробные сведения о Netstat читатели могут получить из врезки «Искусство интерпретации Netstat». В системах Windows Server 2003 и Windows XP предусмотрена возможность с помощью утилиты Netstat просмотреть список открытых портов и связанных с ними программ.

Чтобы активизировать Netstat, нужно открыть окно командной строки, для чего следует открыть меню Start и выбрать пункт Run. В окне командной строки нужно ввести команду

cmd

и нажать клавишу Enter. Чтобы получить список параметров Netstat, можно использовать команду Nestat -?, но для целей настоящей статьи мы введем команду

netstat -ano

где параметр -a отображает активные соединения, параметр -n показывает соединения с IP-адресами и номерами портов вместо имен, а параметр -o отображает идентификатор процесса (PID) приложения, владеющего данным портом.

Если параметр -n не использовать, система выдаст имена доменов компьютеров, к которым она подключена. Команда Netstat -ao обеспечивает замену номеров портов именами их обычных приложений или служб, но эта функция не всегда выполняется точно (например, всем видам трафика, использующим порт 80, присваивается имя HTTP, даже если контент трафика содержит элементы, не имеющие к HTTP никакого отношения). Кроме того, Nestat -ao меняет все локальные IP-адреса на NetBIOS-имена соответствующих локальных систем. Без параметра -n невозможно определить, с помощью какого интерфейса программа в данный момент ведет «прослушивание». Netstat -ao следует запускать лишь в тех случаях, когда необходимо знать имя удаленного компьютера (например, www.yahoo.com). Если на системе установлена более ранняя, чем XP, версия Windows, параметр -o не будет выполнять своей функции, и определить, какими программами какие порты используются, с помощью Netstat не удастся.

На экране 1 показаны результаты выполнения команды Netstat -ano, как они были отображены моим компьютером. Команда выдает пять колонок данных. В первой колонке перечислены все сетевые протоколы, отображающие вначале все TCP-соединения. Во второй колонке указаны локальный IP-адрес и номер порта соответствующего соединения. В третьей колонке перечислены IP-адреса и номера портов назначения. Если номер порта еще не определен, в колонке ставится звездочка (*). В четвертой колонке обозначены состояния портов TCP. Состояния ESTABLISHED, LISTENING и SYN_SENT означают открытые и активные сеансы, все остальные состояния к этим категориям не относятся. Для портов UDP состояния не перечисляются, поскольку протокол UDP не предусматривает сохранения данных о состоянии. В табл. 4 показаны различные состояния Netstat (сервером в таблице именуется локальная программа или служба, владеющая портом).

В пятой колонке данных, предоставляемых утилитой Netstat, приводятся идентификаторы PID процессов, открывших соответствующий порт. Можно связать данную информацию с определенной программой или службой при помощи диспетчера Task Manager. Тем, кому еще не доводилось исследовать идентификаторы PID с помощью Task Manager, хочу напомнить, что в окне Task Manager необходимо создать дополнительную колонку PID. Для этого нужно нажать комбинацию клавиш Ctrl+Alt+Del; на экране появится окно Task Manager. Следует перейти на закладку Task Manager Processes, затем щелкнуть на View и Select Columns. Выбрав переключатель нужного идентификатора процесса PID, нажмите OK. Теперь диспетчер Task Manager отобразит идентификатор PID рядом с названием владеющей портом программы (Image Name), как показано на экране 2. Чтобы установить соответствие между идентификаторами процессов и их именами, можно переключаться между экраном Netstat и окном Task Manager.

Netstat -ano — неплохая утилита для вывода списка открытых портов, но у нее есть несколько недостатков. Она функционирует только на системах Windows 2003 и Windows XP, а если пользователь хочет установить соответствие портов с программами, он должен переключаться между двумя экранами. На системах, где открыто множество портов, Netstat может иметь исключительно низкое быстродействие, а по точности она уступает некоторым конкурентам. Netstat — это утилита командной строки, она не оснащена удобным для пользователя графическим интерфейсом и не предоставляет данные в реальном времени. Этот инструмент следует запускать всякий раз, когда необходимо обновить сведения о том или ином порте. Наконец, Netstat не отображает удаленных IP-адресов и номеров портов (иначе именуемых конечными точками), подключенных к активным портам UDP.

Все эти проблемы побуждают многих пользователей обращаться к отображающим списки открытых портов утилитам от независимых поставщиков. Перейдем к рассмотрению изделий этой категории. Далее я отмечу несколько наиболее интересных из них и упомяну утилиты, которые не заслуживают внимания.

Утилиты для исследования открытых портов от независимых компаний

Существует множество бесплатно распространяемых и коммерческих средств, среди которых есть как утилиты командной строки, так и профессионально оформленные инструменты с графическим интерфейсом пользователя. Я протестировал 10 таких программ на системе Windows 2000 Professional. На компьютере был представлен стандартный набор служб и портов (конкретно речь идет о портах 135, 137, 138, 139, 445 и 500), характерный для только что введенной в строй системы.

Я решил перенять тактику «троянских коней», которые используют в своих именах не выводимые на печать символы (чтобы не попасть в листинги открытых портов), и приложил максимум усилий для того, чтобы сделать невидимым имя службы Telnet Server. Используя такой трюк, злоумышленники надеются, что администраторы, занятые исследованием длинных списков процессов, увидят пустое пространство и не станут выяснять, что за этим кроется. Чтобы убрать службы Telnet Server «с глаз долой», мне пришлось основательно потрудиться. Сначала с помощью ряда шестнадцатеричных символов ASCII (ASCII 32h — это символ пробела) я дал файлу tlntsvr.exe имя .exe. Затем я внес изменения в реестр, чтобы при инициализации Windows вместо обычного файла с именем службы запускался файл с новым именем.

Кроме того, я запустил два широко известных «троянских коня» — Back Orifice 2000 (BO2K) и NetBus с целью создания враждебных открытых портов. Я хотел выяснить, сочтут ли утилиты подозрительными упомянутых «троянцев» — и это сделала по меньшей мере одна из программ (Port Explorer). Я внимательно следил за тем, чтобы в ходе испытаний были запущены одни и те же приложения и процессы. В целом у меня выполнялось 14 активных процессов TCP и 7 процессов UDP. Затем я запускал тестируемые продукты и проводил испытания.

Active Network Monitor

Созданная специалистами фирмы SmartLine утилита Active Network Monitor — это простое и весьма эффективное средство проверки портов. Ее установка выполняется без каких-либо затруднений и не требует перезагрузки системы. Главное окно оснащено небольшим числом функций, зато изделие отличается стабильностью работы и эффективностью. Active Network Monitor предоставляет пользователю основную информацию: идентификаторы PID, локальные и удаленные IP-адреса и порты, протоколы, а также имена программ, включая маршруты доступа. Утилита может экспортировать список процессов во внешний файл .txt ил .csv с разделителями в виде запятых или знаков табуляции. Чтобы привлечь внимание к новым видам использования портов, утилита выделяет изменения в состоянии с помощью цветных маркеров. Active Network Monitor дает возможность прекращать процессы. Немного раздражает применяющаяся по умолчанию настройка Always on Top («Всегда показывать поверх других окон»). Разумеется, ее легко изменить, но вообще такой режим мешает работать.

Port Traffic Analyzer

Когда-то утилита Port Traffic Analyzer от компании Atelier Web (цена 32,50 долл.) была одним из моих любимых инструментов. Она входила в число первых графических утилит для поиска открытых портов. Ее было легко устанавливать и эксплуатировать. К сожалению, когда я устанавливал текущую версию на тестовой системе, программа Port Traffic Analyzer не сумела зафиксировать какую-либо активность портов, хотя процесс установки, судя по всему, прошел гладко. Я несколько раз удалял эту утилиту и устанавливал ее снова, я пробовал перезагружать систему — все напрасно. На Web-узле компании Atelier в первой — и самой объемной — части раздела, посвященного часто задаваемым вопросам, документируются проблемы установки. Похоже, что у большинства пользователей проблемы возникают потому, что для сбора информации в рассматриваемой утилите используется предложенный Microsoft API Layer Service Provider (LSP). Техническая поддержка предоставляется только через Web, но вы можете быстро получить ответ. Как ни восхищал меня этот продукт в прошлом, сейчас мне трудно рекомендовать его из-за постоянных проблем, связанных с установкой.

Fport

Бесплатно распространяемую программу Fport компании Foundstone, пожалуй, можно считать наиболее часто рекомендуемой в масштабах всей отрасли утилитой командной строки, предназначенной для проверки портов. Это надежное и компактное изделие, которое к тому же быстро устанавливается. Fport генерирует списки идентификаторов PID, имен процессов, номеров локальных портов, протоколов, исполняемых модулей процессов и маршрутов доступа. Но хотя многие до небес превозносят эту утилиту, надо сказать, что в ней не хватает некоторых важных функций. Так, она не способна генерировать списки локальных IP-адресов, не отображает удаленных IP-адресов и номеров портов и не отражает состояния или происходящие в данный момент процессы. С удаленного компьютера я подключился к своей машине через зараженный «троянцем» BO2K-клиент, а программа Fport при этом не отметила каких-либо изменений. Мне и раньше доводилось быть свидетелем того, как Fport пропускает определенные открытые порты. Когда-то Fport был для меня достойным дополнительным средством, но, познакомившись с некоторыми продуктами-конкурентами, я пришел к выводу, что в дальнейшем в своих изысканиях я, скорее всего, буду пользоваться другим инструментом.

Inzider

Самая примечательная особенность бесплатно распространяемой компанией NTSecurity.nu программы Inzider — это простая процедура удаления. У меня начались проблемы в тот момент, когда я активизировал эту утилиту. Интерфейс показался мне графической вариацией на тему окна командной строки DOS. Когда я запустил программу на выполнение, быстродействие системы тут же снизилось, и я подумал, уж не зависла ли она. Однако спустя несколько минут программа Inzider начала отображать на экране перечень процессов. К сожалению, первый процесс в этом списке не имел открытого сетевого порта; приводились только идентификатор PID, имя процесса и путь доступа. Может быть, утилита должна была представить номер порта или IP-адрес спустя какое-то время, но мне так и не довелось увидеть их. По прошествии пяти минут Inzider отобразил только два процесса, и я прервал его выполнение.

Очевидно, такая медлительность связана с тем уникальным способом, с помощью которого Inzider составляет перечень процессов, — этот метод называется DLL injection. Неудивительно, что данный прием не используется ни в одном другом средстве проверки портов. Ведь даже сами разработчики утилиты Inzider отмечают в документации, что программа функционирует нестабильно. Кроме того, они признают, что Inzider не обеспечивает проверку процессов, которые инициировались как службы. Иными словами, получается, что это решение мало что дает.

Net-Scope

Net-Scope, разработка фирмы Delta Design UK, — еще один аутсайдер. В ходе испытаний она включала в перечень множество процессов, которые не являлись программами с сетевыми соединениями. Это средство пропустило несколько открывающих порты программ, ошибочно регистрировало программы, которые портов не открывали, и допускало неточности в сообщениях об использовании портов. К примеру, хотя в процессе тестирования утилита Net-Scope включила IE в число программ, имеющих открытые порты, в качестве как исходного, так и целевого IP-адреса она назвала адрес 127.0.0.1. При установлении соединения IE с сервером http://www.google.com программа не отобразила ни активного соединения, ни удаленного IP-адреса. Без дополнительных манипуляций графический интерфейс утилиты мало что отображает. Чтобы получить подробную информацию о том или ином процессе, необходимо выполнить на значке этого процесса двойной щелчок и подождать, пока в нижней части экрана будут выведены результаты. Часто правильные результаты так и не появляются. Бесплатная демонстрационная версия дает право воспользоваться программой 15 раз, но дело в том, что одним сеансом считается каждое обновление экрана, так что отведенные мне возможности бесплатного использования утилиты были исчерпаны очень быстро.

Port Explorer

Вне всякого сомнения, поставляемое фирмой Diamond Computer Systems (DiamondCS) средство проверки портов Port Explorer (цена 40 долл.) является лучшим из продуктов, представленных в данном обзоре. Оно наделено прекрасно разработанным пользовательским интерфейсом, отличается легкостью в установке, высокой стабильностью, предоставляет большой объем полезной информации (в которой пользователь может без особых усилий найти нужные сведения), поставляется с набором тестовых инструментов и обеспечивает выделение цветом подозрительных программ. Если Port Explorer находит странности в поведении той или иной программы, ее порт помечается красным цветом. В ходе испытаний изделие выделило цветом порты обоих «троянских коней» — как BO2K, так и NetBus. Когда Port Explorer активизируется в первый раз после установки, открывается справочный файл программы, что явно следует отнести к числу ее достоинств. Это единственное средство проверки портов, имеющее собственную дискуссионную доску. Похоже, что его разработчики полны решимости превратить Port Explorer в лучший продукт в своем классе.

По-видимому, для отслеживания и идентификации процессов Port Explorer использует не менее пяти отдельных методов — SNMP, LSP, недокументированный прием Transport Driver Interface (TDI), а также документированные и недокументированные методы IPHelper. На моих тестах утилита Port Explorer показала себя как самое точное инструментальное средство и была одним из двух средств проверки портов, которые отображали удаленные IP-адреса и соединения UDP как на экране, так и в журнале.

Port Explorer обеспечивает обновление информации о трафике на портах в реальном времени, но программу можно настроить и таким образом, что обновления будут приостановлены и представление данных станет статическим. Кроме того, надо отметить, что данное средство записывает сведения обо всем, что происходит, в локальный файл, который пользователь может просматривать с помощью графического интерфейса. Я подвергал Port Explorer серьезным нагрузкам, которых обычно бывало достаточно для того, чтобы заставить Netstat работать черепашьими темпами или вовсе останавливаться, но Port Explorer сразу после запуска без промедления отображал данные по каждому порту.

Графический интерфейс и функции Port Explorer допускают возможность настройки. В зависимости от желания пользователя утилита может отображать имя файла или полный маршрут доступа к файлу программы, владеющей данным портом. Последняя возможность очень удобна в тех случаях, когда приходится «выкуривать» неуловимую программу. В главном окне имеется несколько столбцов с данными, которые можно сортировать щелчком мыши на верхней строке столбца сортировки; кроме того, колонки можно перетаскивать мышью на различные участки экрана, не прерывая работы программы. Переходя на ту или иную из закладок, расположенных в верхней части основного экрана, пользователь может выбрать один из нескольких методов просмотра. Имеется возможность настройки цветов, частоты регенерации изображения и даже выбора языка. Port Explorer может представлять информацию на восьми языках; если не считать Netstat, это единственная утилита для поиска открытых портов, оснащенная такими средствами. Кроме того, программа может отображать статистические данные сети.

В состав пакета Port Explorer входит несколько диагностических и тестовых утилит, облегчающих поиск удаленного компьютера. В их число входят Ping, Lookup, Whois, Traceroute и даже анализатор пакетов под названием Socket Spy. Вводя с клавиатуры соответствующие идентификаторы PID, пользователь может дать анализатору Socket Spy команду перехватывать информацию из пакетов локальных программ. К тому же можно прекращать любой процесс, распознаваемый Port Explorer. Вне всякого сомнения, Port Explorer — это самое производительное, самое стабильное и самое впечатляющее из протестированных мною средств для поиска открытых портов.

OpenPorts

Фирма DiamondCS недавно выпустила утилиту командной строки OpenPorts, которой могут бесплатно пользоваться владельцы домашних компьютеров и пользователи из сферы образования. Принцип действия данного инструмента такой же, как и у программы FPort; более того, в окне командной строки пользователь может ввести команду fport, и тогда утилита начнет отображать данные в том же представлении, что и Fport. Кроме того, формат представления данных OpenPorts можно менять с помощью ключа -netstat. Любопытно, что в стандартном режиме функционирования OpenPOrts при перечислении портов сортирует их по именам процессов — очень удобная возможность, позволяющая видеть все порты (TCP и UDP), ассоциированные с той или иной программой. Чтобы понять, насколько полезна эта функция, достаточно представить ситуацию, когда браузер устанавливает соединение с Web-узлом, который содержит ссылки на 15 других узлов, и каждый из них открывает свой порт. Программа OpenPOrts выдает имя процесса (но не путь доступа к нему), локальный IP-адрес и номер порта, удаленный IP-адрес и номер порта, а также сведения о состоянии. Кроме того, это средство может экспортировать данные в файлы трех форматов. И поскольку OpenPorts предъявляет данные об удаленных IP-адресах, номерах удаленных портов и о состоянии, эта бесплатно распространяемая утилита по эффективности превосходит изделие Fport.

Socket Port Owner

Поставляемая фирмой Fly Ya Software программа Socket Port Owner (цена 14,99 долл.) предоставляет чуть больше информации, нежели Fport. Незатейливый графический интерфейс этого продукта напоминает мне главное окно Active Network Monitor. Утилита Socket Port Owner отображает сведения об идентификаторах PID, о пути к исполняемому модулю, локальных и удаленных IP-адресах и портах, а также о протоколах. В интерфейсе имеется колонка Remote Location, в которой программа, как ни странно, ошибочно идентифицировала мой частный IP-адрес как расположенный в Голландии (впрочем, возможно, что эта ошибка характерна только для демонстрационной версии). Другая колонка, Listen, содержит лишь два значения, yes или no, что трудно назвать наилучшим вариантом представления информации о состоянии. Наконец, Socket Port Owner не имеет справочного файла.

TCPView

Утилита TCPView компании Sysinternals (распространяется бесплатно) —«спартанское» изделие без каких-либо излишеств. Оно спроектировано в виде одного исполнимого модуля. Графический интерфейс утилиты в реальном времени предоставляет необходимые сведения, причем отображает их там, где пользователю нужно их увидеть. Программа приводит имя процесса, его идентификатор, протокол, локальный и удаленный IP-адреса, а также номера портов и данные о состоянии. Щелкнув на значке соединения процесса, пользователь может получить полный путь доступа к месту его выполнения и принять меры для прекращения этого процесса. Чтобы пользователю было удобнее отслеживать новые события, программа выделяет их цветом.

Бесплатное изделие, способное обеспечить базовые функции, — казалось бы, что может быть лучше? Но должен сказать, что в ходе испытаний программа TCPView в среде NT Server 4.0 не всегда выполнялась стабильно. Так, когда я пытался сохранить результаты экрана в текстовом файле, она исчезала или «зависала». Кроме того, с аналогичными проблемами я сталкивался и в прошлом. Бывало, что при установке TCPView на рабочих станциях NT 4.0 отмечались явления нестабильности: в частности, сразу же после первой перезагрузки возникали проблемы с «голубым экраном». Однако на современных платформах Windows программа функционирует стабильно. Sysinternals и Wininternals Software выпустили большое число высококачественных бесплатно распространяемых и коммерческих пакетов, но если кто-то решит использовать рассматриваемую утилиту в среде Windows NT, придется делать это на свой страх и риск.

Приступая к подготовке статьи, я намеревался написать рецензию на программу TCPView Pro, наделенную более богатым набором функций и являющуюся коммерческой «кузиной» утилиты TCPView. Но оценочная версия этого продукта так и не была размещена на Web-узле компании. Похоже, что TCPView Pro можно получить лишь в составе пакета Administrator?s Pak (т. е. в числе комплекта из пяти утилит).

X-NetStat Professional 4.0

Разработанная специалистами Fresh Software программа X-NetStat Professional 4.0 (цена 20 долл.) устанавливается быстро и легко, но у нее неудобный графический интерфейс. Трудно определить, как добраться до нужной информации. В верхней части экрана содержится список соединений, а также локальные и удаленные адреса, локальные и удаленные порт, протокол и состояние (которое создатели программы обозначают с помощью термина Status). В нижней части экрана — несколько окон; каждое из них содержит открытый порт (в одних случаях это порт UDP, в других — TCP). Чтобы получить общую информацию о том, какая программа пользуется данным портом, нужно щелкнуть на одном из этих окон правой кнопкой мыши и в раскрывшемся меню выбрать пункт Port Information. В целом надо сказать, что программа содержит много ошибок и пользоваться ею неудобно. Единственное преимущество состоит в том, что X-NetStat Professional 4.0 обеспечивает захват заголовков пакетов по портам, что, как оказалось, иногда может быть полезным при идентификации портов.

На Web-узле фирмы Fresh Software я нашел объявление о выпуске в ноябре 2002 года версии продукта 5.0, но эта версия так и не появилась. Зато сайт буквально забросал меня целой грудой всплывающих рекламных объявлений. Я полагаю, что фирма прекратила работу над этим продуктом и пытается извлечь прибыль из других направлений своей деятельности.

Лучшие

Когда занимаешься поиском программ, способных нанести системе ущерб, полезно иметь под рукой список открытых TCP/IP-портов, а также открывших их программ или служб. Возможности утилиты Netstat ограничены, но она устанавливается вместе с каждой версией Windows, поэтому данным инструментом всегда можно воспользоваться в процессе поиска причины неполадок. К сожалению, он не облегчает решения проблемы установления соответствия между открытым портом и исходной программой. И все же в случае необходимости операторы компьютеров Windows 2003 и Windows XP могут воспользоваться командой Netstat-ano — данные, полученные с ее помощью, можно сравнить со списком идентификаторов PID диспетчера Task Manager. Но тем, кто работает на других платформах Windows, придется подыскивать альтернативные решения. Если говорить о продуктах, представленных в нашем сравнительном обзоре, самым сильным претендентом является фирма DiamondCS и ее программы — продукт на базе графический интерфейс Port Explorer и утилита командной строки OpenPorts. Изделие TCPView компании Sysinternals — претендент номер два, но только для тех, кто может избежать проблем со стабильностью, с которыми я столкнулся, работая на платформе Windows NT. Среди утилит командной строки альтернативой OpenPorts является разработанная компанией Foundstone программа Fport. Но те, кто профессионально занимается проблемами сетевой безопасности или администрированием систем, непременно должны иметь у себя копию программы Port Explorer.

Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O?Reilly & Associates). Его адрес: roger@rogeragrimes.com

UDP и TCP

Почти все программы используют для связи один из двух протоколов — UDP или TCP. Протокол TCP — более эффективный инструмент. Он ориентирован на соединения и обеспечивает надежную передачу данных. Прежде всего, TCP следит за тем, чтобы получающий данные компьютер был готов к их приему. Протокол проводит предусматривающий передачу трех пакетов сеанс согласования, в ходе которого отправитель и получатель договариваются о том, что они готовы к обмену данными. Для этого в состав пакета TCP вводятся флаги состояния; с их помощью узлы обмениваются данными о текущем состоянии передачи (начало, завершение, продолжение). Трафик TCP предусматривает сохранение данных о состоянии. Далее TCP следит за тем, чтобы данные попали в пункт назначения. Если получатель не подтверждает прием того или иного пакета, протокол TCP автоматически возобновляет его передачу — обычно это повторяется три раза. При необходимости TCP разделяет крупные пакеты на пакеты меньших размеров, так чтобы обмен информацией между отправителем и получателем происходил без риска потери данных. TCP отбрасывает пакеты-дубликаты и восстанавливает очередность пакетов, прибывающих не в свою очередь.

Протокол UDP не ориентирован на соединения. Он больше подходит для передачи пакетов ограниченной емкости. UDP не наделен механизмом самопроверки, который подтверждал бы получение данных или следил бы за тем, чтобы они приходили в том же порядке, в каком были посланы. Однако такую проверку часто осуществляет использующее UDP приложение; оно же может направить компьютеру-отправителю запрос на повторную передачу утерянной информации. Кроме того, рассматриваемый протокол не предусматривает сохранение данных о состоянии; следовательно, UDP не проводит сеанса согласования, а пакеты UDP не имеют флагов состояния.

Некоторые программы задействуют оба протокола — и UDP, и TCP. Так, сервер RealAudio фирмы RealNetworks использует порт TCP 7070 с целью инициализации соединения для последующей загрузки данных для клиента RealAudio Player. После установления связи сервер RealAudio передает поток данных через порты UDP от 6980 до 7170. Другой пример: для обмена данными между DNS-серверами Microsoft DNS использует порт UDP 53. Если один сервер DNS определяет, что и другой сервер DNS также является сервером Microsoft DNS, он может принять решение о переключении сетевого соединения на порт 53 TCP, чтобы иметь возможность передавать более значительные объемы данных об именах в домене.

Искусство интерпретации Netstat

Читать распределенные по пяти колонкам показания Netstat — это в некотором роде искусство. Прежде всего следует обратить внимание на колонку Local Address. Как правило, в ней будут отображаться данные типа 0.0.0.0 или 127.0.0.1, а может быть, IP-адрес одного из физических сетевых интерфейсов (скажем, сетевой интерфейсной платы или модема). Если данное приложение связано с 0.0.0.0, программа готова принимать соединения с любого интерфейса. Если приложение привязано к конкретному IP-адресу, программа намерена принимать соединения с этим портом только от данного локального интерфейса. Адрес 127.0.0.1 — это адрес локальной кольцевой проверки; т. е. данное приложение будет принимать соединения, инициированные лишь конкретным компьютером. Адрес 127.0.0.1 часто используется при обмене данными в процессе удаленного вызова процедур между процессами и при соединениях с PDA. Как правило, соединения 127.0.0.1 являются безопасными, так как вредоносные программы никогда не открывают для себя только локальное соединение. Поэтому следует обратить внимание на оставшиеся соединения.

На следующем этапе администраторы, как правило, обращаются к исследованию состояния. Сеансы связи в режиме Listening mode не должны иметь ассоциированных с ними удаленных IP-адресов, а сеансы в режиме Established mode (или в другом активном состоянии), напротив, должны иметь такие адреса. Обычно удаленный IP-адрес — это 127.0.0.1 или адрес какого-либо внешнего компьютера. Опять-таки соединение 127.0.0.1 можно оставить без внимания, но следует сосредоточиться на анализе активных сеансов с удаленными IP-адресами. Есть ли среди них адреса, которые показались вам необычными? Если да, то необходимо сопоставить сеанс с его идентификатором процесса PID и исследовать эту программу. Нужно отметить номер удаленного порта назначения и попытаться привязать его к хорошо известному протоколу (например, HTTP).

В поисках вредоносных программ рекомендую обращать особое внимание на следующие порты: необъяснимые соединения Established с удаленными Internet-адресами, неизвестные порты TCP в режиме Listening mode и неизвестные порты UDP. Многие порты UDP имеют «дублирующую» запись в режиме TCP Listening mode, потому что открывающее порт приложение может, в зависимости от ситуации, использовать любой из протоколов UDP или TCP. Если порт UDP не имеет соответствующей записи в TCP, нужно исследовать его. Если же порт UDP имеет дублирующую запись TCP, можно сделать главным объектом своего исследования порт TCP.

Ресурсы, посвященные портам «троянских коней»

Списки портов, в которые могут попадать «троянские кони», полезно иметь под рукой в ситуациях, когда внезапно обнаруживаются открытые порты. Такие списки можно найти по следующим адресам:

SANS (http://www.sans.org/resources/idfag/oddports.php )

G-Lock Software (http://www.glocksoft.com/trojan_port.html)

Simovits Consulting (http://www.simovits.com/sve/nyhetsarkiv/1999/
nyheter9902.html)

Doshelp.com (http://www.doshelp.com/trojanports/html)

Картинка с сайта: www.itprc.com

As a network administrator, do you really know what’s happening on your network? Using a port scanning tool can help identify potential vulnerabilities as well as paint a detailed picture as to what devices are open to certain types of communication. In this article, we’ll review the six best port scanner tools you can use to help discover vulnerabilities, and better defend your network.

Here is our list of the best port scanner tools:

1. ManageEngine Vulnerability Manager Plus: Offers a comprehensive vulnerability and patch management solution that includes continuous scanning across diverse network environments. It combines network visibility with built-in remediation tools, making it ideal for proactive security.
2. ManageEngine OpUtils: A modern and clean interface coupled with powerful port mapping, rogue device detection, and network monitoring makes OpUtils a versatile toolkit for IT admins and network engineers.
3. Nmap: The most trusted open-source port scanner for penetration testers and network pros, with unmatched customization, scripting, and OS fingerprinting capabilities.
4. SolarWinds Port Scanner: Combines Nmap’s backend with an intuitive interface, offering efficient scanning, OS detection, and exportable results in a user-friendly package for Windows users.
5. Angry IP Scanner: Lightweight and fast, this cross-platform tool is perfect for quick network discovery and port scans, making it a help desk favorite.
6. Netcat: A barebones command-line utility that excels in precise port scanning and network debugging tasks, favored by advanced users and security professionals.
7. Unicornscan: A powerful, security-focused tool offering advanced packet crafting and asynchronous scanning for deep network reconnaissance.
8. Pentest-Tools: A web-based scanning solution that makes port scanning accessible for non-technical users, providing a fast and simple interface for external IP scans.
9. IP Fingerprints: A free and flexible online port scanner that supports customized scanning types like SYN, ACK, and FIN stealth scans without needing local installation.

What are port scanner tools used for?

From network administrators, security experts, and even hackers, all port scanners help detect what ports are open, closed, or filtered on a device that is on a network.

These details combined with manufacturer information can help give context as to what a device’s purpose is on the network. With that information, attackers will attempt to use known exploits over those ports to gain unauthorized access.

Checking for unnecessary open ports is usually one of the first steps an attacker will do when trying to find ways into your network. As an administrator, we can run these tools first to defend from potential attacks. Port scanner tools give admins a chance to shut down unused ports that are open and terminate suspicious connections.

Ports can be left open unintentionally, or forced open by rootkits and other advanced types of malware. These ports are essentially exploited as backdoors to exfiltrate stolen data and push out commands to existing malware on the network. Performing a network security audit with a trusted port scanner tool can help detect some of the stealthiest types of malware and attacks.

Using a port scanner tool on a network you own is perfectly fine. If for whatever reason you need to run a port scan tool on someone else’s network, ensure you have written permission to do so. Running these tools on networks you do not have permission to is deemed illegal in most countries.

The Best Port Scanner Tools

Let’s dive into some of the best port scanning tools on the market today, and review exactly why they made the list. Some tools below have multiple uses, but today we’ll be focusing on their port scanning features.

1. ManageEngine Vulnerability Manager Plus (FREE TRIAL)

Картинка с сайта: www.itprc.com

ManageEngine Vulnerability Manager Plus is a comprehensive vulnerability discovery, assessment, and remediation platform suitable for SMB to enterprise networks.

Key Features:

• Multi-OS Compatibility: Supports Windows, Linux, and Mac for complete infrastructure coverage.
• Integrated Patch Management: Automatically deploys patches for operating systems and third-party applications.
• Continuous Vulnerability Scanning: Runs automated scans across LAN, WAN, and remote sites to ensure ongoing protection.
• Prioritized Risk Assessment: Uses a built-in severity ranking system to streamline remediation efforts.
• Extensive Threat Intelligence: Constantly updates its vulnerability database with emerging security risks.

Why do we recommend it?

ManageEngine Vulnerability Manager Plus earns its recommendation by offering a comprehensive and scalable solution for vulnerability management. Its capacity to conduct thorough scans across diverse networks, including remote sites and WANs, ensures that vulnerabilities are identified throughout the entire infrastructure. The platform’s intuitive severity ranking system streamlines the prioritization of remediation efforts, enhancing the efficiency of the vulnerability management process. With support for various operating systems, including Windows, Linux, and Mac, ManageEngine Vulnerability Manager Plus caters to the needs of diverse networks, making it a versatile and effective choice for businesses of varying sizes.

Vulnerability Manager Plus starts by scanning your entire network to locate vulnerabilities across your hardware and network infrastructure. The scan easily extends beyond your LAN to include remote site subnets and other interconnected WANs. Once complete, the scan provides a severity ranking for each issue found, making it easy to tackle what issues need to be addressed first. The platform supports Windows, Linux, and Mac operating systems, making it an ideal choice for more diverse networks.

Finally, the management platform helps ensure that loopholes stay closed and helps prevent future vulnerabilities moving forward.

Who is it recommended for?

ManageEngine Vulnerability Manager Plus is ideal for SMB to enterprise networks seeking an all-encompassing vulnerability management solution. Network administrators and security professionals tasked with overseeing diverse operating systems, including Windows, Linux, and Mac, will find this platform particularly beneficial. Its automated scanning capabilities and built-in patch management for both OSs and third-party applications make it well-suited for organizations aiming for continuous vulnerability remediation. The flexibility and robust threat intelligence support further position ManageEngine Vulnerability Manager Plus as a valuable asset for businesses looking to fortify their security posture.

Download a fully-featured 30-day free trial of the ManageEngine Vulnerability Manager Plus.

ManageEngine Vulnerability Manager Plus
Download FREE Trial

2. ManageEngine OpUtils (FREE TRIAL)

Картинка с сайта: www.itprc.com

ManageEngine OpUtils is a bundle of different tools that contains a port mapper, an IP address manager, and a physical switch portmapper. The interface is very modern and clean unlike some of the old-school scanning tools, which is refreshing, to say the least.

Key Features:

• Comprehensive Port Scanning: Enables administrators to scan both TCP and UDP ports across specified IP ranges, identifying open, closed, and filtered ports to assess network security effectively.
• Real-Time Switch Port Mapping: Provides up-to-date mappings of switch ports, displaying connected devices and their associated interfaces, which aids in monitoring and managing network topology.
• Automated Port Scan Scheduling: Administrators can schedule regular port scans to ensure continuous monitoring, allowing for proactive detection of unauthorized services or potential vulnerabilities.
• Alerting and Notifications: Offers customizable alerts and email notifications for specific port events, such as state changes or detection of multiple devices on a single port, facilitating prompt response to network anomalies.
• Integrated Rogue Device Detection: Integrates with a rogue detection module to identify and block unauthorized devices accessing the network through open ports, enhancing overall security.

Why do we recommend it?

The ManageEngine OpUtils bundle encompasses a range of functionalities, including a port mapper, IP address manager, physical switch port mapper, bandwidth monitor, wake-on-LAN tool, rogue device detection, switch port management, and SNMP monitoring tools. Its modern and clean interface sets it apart from traditional scanning tools, providing a user-friendly experience. OpUtils excels in delivering precisely what tech professionals need, offering quick and efficient network scans, open port identification, and detailed status analysis, making it a valuable asset for network management.

What makes OpUtils great is that it’s technically a bundle of some of the most frequently used tools by techs and sysadmins. This includes a bandwidth monitor, wake-on-LAN tool, rogue device detection, switch port management, SNMP monitoring tools, and about a half dozen smaller tools tailored to specific devices such as Cisco.

OpUtils lets you scan the entire network based on a custom IP range for open ports, or alternatively, you can choose a single device and run an entire port scan over all ports. What makes this tool great is that it does just exactly what you want it to do.

Who is it recommended for?

ManageEngine OpUtils is recommended for technicians and system administrators looking for a comprehensive toolkit that consolidates essential network management tools. With features catering to tasks such as port mapping, IP address management, and switch port analysis, OpUtils is suitable for a wide range of users involved in network monitoring and administration. The user-friendly interface makes it accessible for those who prioritize efficiency and modern design. Whether you need to perform network scans, identify open ports, or manage SNMP devices, OpUtils offers a versatile solution. The availability of a 30-day free trial allows users to explore its capabilities before making a commitment.

In a matter of seconds, you can have a device’s full range of ports and their status displayed for analysis. OpUtils is available for Windows Server and Linux systems. You can test out ManageEngine OpUtils free through a 30-day free trial.

ManageEngine OpUtils
Start a 30-day FREE Trial

3. Nmap

Картинка с сайта: www.itprc.com

Nmap is one of the most widely used and trusted port scanner tools in the world of cybersecurity. It’s the cornerstone of any pentester’s toolkit and helps aid in network discovery, device vulnerability, and network reconnaissance. Nmap which is aptly short for network mapper lives up to its name doing just that.

Key Features:

• Comprehensive Port Scanning: Powerful tool for scanning TCP and UDP ports, identifying open, closed, or filtered ports across networks to assess security and detect vulnerabilities.
• Advanced Host Discovery: Performs network sweeps to discover hosts and devices, even in heavily filtered environments, ensuring thorough network visibility.
• Customizable Scan Types: Offers various scan methods, such as SYN scan, ACK scan, and NULL scan, allowing users to tailor scans for specific use cases and environments.
• Scripting Engine (NSE): Includes a robust scripting engine that automates tasks like vulnerability detection, malware discovery, and service enumeration, extending its functionality.
• OS and Service Detection: Identifies operating systems, software versions, and running services on remote hosts, providing critical insights for security assessments.

Why do we recommend it?

Nmap stands out as a leading and widely trusted port scanner tool in the realm of cybersecurity. Its robust capabilities make it a cornerstone in the toolkit of penetration testers, aiding in network discovery, device vulnerability assessment, and network reconnaissance. The tool’s success is attributed to its open-source architecture and user-friendly design, fostering active communities for troubleshooting, bug fixing, and feature enhancements. Nmap excels in providing detailed outputs, offering insights into network information, device responses, port statuses, and running services. Its command-line interface, while potentially intimidating for newcomers, is complemented by Zenmap, a graphical alternative that simplifies the scanning process.

What’s made the tool so successful is its open-source architecture and relative ease of use. This has allowed dedicated communities to troubleshoot bugs and add additional features that might be helpful for port scanning.

Nmap scans networks and provides very detailed outputs containing information about the network, how devices responded to the scan, the status of the ports, and what services the device might be running.

This is all done through a command-line interface, which can be a bit intimidating to newer users. While I personally am a fan of the command line, those who want a more graphical-based approach can use Zenmap. Zenmap is essentially Nmap without having to type all of the commands out.

Since Nmap is so lightweight it is preferred among many security professionals, as it can be used to scan massive corporate networks with very little resource footprint. Behind Nmap is an entire Lua programming language and Nmap scripting language. This allows you to automate and script out very specific types of conditions you’re looking to find in your scan.

Who is it recommended for?

Nmap is highly recommended for cybersecurity professionals, penetration testers, and network administrators seeking a powerful and versatile port scanner tool. Its open-source nature allows for continuous community-driven improvements, ensuring reliability and effectiveness. While the command-line interface may require some familiarity, Zenmap provides a graphical option for those who prefer a more user-friendly experience. Nmap’s lightweight footprint makes it ideal for scanning large corporate networks with minimal resource usage. The tool’s compatibility with various operating systems, including Windows, macOS, Linux, Free BSD, and Solaris, enhances its accessibility and makes it an invaluable asset for cybersecurity enthusiasts. Nmap’s free and open-source model further contributes to its popularity and widespread use in the cybersecurity community.

Nmap is completely free and open source. Nmap runs on nearly all operating systems including Windows, macOS, Linux, Free BSD, and Solaris.

4. SolarWinds Port Scanner

Картинка с сайта: www.itprc.com

SolarWinds Port Scanner combines the raw power of Nmap and displays its outputs elegantly through a simple and intuitive interface. By selecting an individual device or range of IPs SolarWinds Port Scanner will get to work and display the results in the same window on the right-hand column.

Key Features:

• Comprehensive Port Scanning: Allows users to scan a range of IP addresses to identify open, closed, and filtered TCP and UDP ports, providing detailed insights into network configurations and potential vulnerabilities.
• Hostname and MAC Address Resolution: Resolves hostnames and MAC addresses, offering additional context about the devices associated with each scanned port, which aids in network management and security assessments.
• Operating System Detection: Detects the operating systems of scanned devices, helping administrators understand the network landscape and identify systems that may require updates or patches.
• Configurable Scan Profiles: Users can save scan configurations into profiles, allowing for quick re-execution of scans with predefined settings, enhancing efficiency in regular network monitoring tasks.
• Exportable Results: Scan results can be exported in multiple formats, including XML, XLSX, and CSV, facilitating easy sharing and further analysis of the data collected during scans.

Why do we recommend it?

SolarWinds Port Scanner stands out as an excellent choice due to its effective combination of the powerful Nmap engine with a user-friendly interface. The tool efficiently translates the robust scanning capabilities of Nmap into an intuitive display, allowing users to select specific devices or IP ranges effortlessly. With features like multi-thread scanning and adaptive timing behavior, SolarWinds Port Scanner excels in scanning larger networks swiftly. Its ability to save and reuse scan configurations, coupled with support for various export formats and IANA port names, enhances its usability for both regular scans and comprehensive network assessments.

The tool also utilizes multi-thread scanning and adaptive timing behavior to shorten the total time needed to scan, making it a great tool for larger networks with more devices. For administrators that run scans regularly scan configs can be saved and reused at later on other networks or at a later time.

Results can be exported into several formats such as XML, CSV, and XLSX and fully supports IANA port names that can be edited in a separate file after scanning has been completed.

The tool gives a great quick breakdown if the ports are open, closed, or filtered, and even performs OS detection. The OS detection feature is used by attackers to gain contextual information about what services could be running, as well as narrow down what types of attacks are possible.

Each tool has its own methods of identifying operating systems. This is called a “Fingerprint” and is usually based on a number of different factors such as TCP/IP stack or other information that the device is broadcasting.

Who is it recommended for?

SolarWinds Port Scanner is highly recommended for network administrators and security professionals who prioritize a balance between advanced scanning capabilities and user-friendly interfaces. Its suitability extends to those managing larger networks with multiple devices, thanks to its efficient multi-thread scanning and adaptive timing. This tool is ideal for users who require quick and reliable insights into open, closed, or filtered ports, along with robust OS detection features. The ability to export results in various formats adds to its versatility, making it a valuable asset for network administrators seeking a comprehensive yet accessible port scanning solution.

Having such reliable OS detection and ease of use puts SolarWinds Port Scanner on our list. This tool is available for free for Windows operating systems only.

5. Angry IP Scanner

Картинка с сайта: www.itprc.com

Angry IP Scanner is a great tool for quick and simple port scans, especially if used for network discovery. While other tools are more focused on security, Angry IP Scanner is built more for network discovery and device identification.

Key Features:

• Fast Network Scanning: Performs rapid scanning of IP addresses and ports using a multithreaded approach for enhanced speed and efficiency.
• Cross-Platform Compatibility: Operates seamlessly on Windows, macOS, and Linux, making it accessible to users across various operating systems.
• Extensibility with Plugins: Allows users to expand functionality with plugins to retrieve additional information such as NetBIOS details and web server detection.
• Command-Line Interface: Offers a CLI option for integration with scripts and automation of scanning tasks.
• Exportable Results: Enables saving scan results in formats like CSV, TXT, and XML for easy analysis and reporting.

Why do we recommend it?

Angry IP Scanner earns its recommendation as an excellent tool for swift and straightforward port scans, especially when geared towards network discovery. While some tools prioritize security aspects, Angry IP Scanner excels in network exploration and device identification. It has become a staple for help desks and technicians navigating unfamiliar networks, offering a quick and efficient solution for scanning subnets or entire IP ranges. Within minutes, the tool provides a list of IP addresses, their open ports, hostnames, and ping times, enhancing troubleshooting efforts and network connectivity assessments.

This tool is a staple among help desks and any technicians who find themselves working on a new network that they are unfamiliar with. In a matter of seconds, you can specify a subnet or entire IP range to scan. In just a minute or so a list of IP addresses will quickly populate along with their open ports and hostname.

The tool also displays the ping time from you to the device, which can be helpful if troubleshooting network connectivity. I personally used this tool to help track down devices that lost their static IP address, and it has never let me down.

You can also get a brief description of what the device could be running, for example, Angry IP may detect a device is running Apache or Windows. The scans are done using multithreading making it incredibly fast and efficient to run even on larger networks.

Who is it recommended for?

Angry IP Scanner is highly recommended for help desks, technicians, and network administrators dealing with new or unfamiliar networks. Its user-friendly interface and rapid scanning capabilities make it a valuable asset for swift network discovery. The tool’s ability to detect devices, display open ports, and provide brief descriptions of running services, such as Apache or Windows, adds to its versatility. While not primarily designed for security-focused port scanning, Angry IP Scanner strikes an excellent balance between functionality and ease of use. Moreover, its cost-effective nature, being freely available, positions it as an unbeatable choice for those seeking an efficient yet budget-friendly port scanning solution.

The tool isn’t the best port scanner for security purposes but strikes a great balance between port scanning features and ease of use. For the low price of free, you simply can’t beat it.

6. Netcat

Netcat is similar to Nmap and dates back to the early 1990s. Despite being so old, it’s still in use today and has been a trusted tool in the utility bags of technicians all over the world. Netcat is the definition of barebones, meaning it doesn’t have any fancy features or utilities, it simply just does its job.

Key Features:

• Port Scanning: Performs basic port scanning to identify open ports and services running on a target host.
• Data Transfer and Debugging: Allows for the transfer of files and data between systems and serves as a debugging tool for testing network connectivity and communication.
• Listening Mode: Acts as a network listener for incoming connections on specified ports, useful for troubleshooting or creating lightweight servers.
• Flexible Protocol Support: Supports both TCP and UDP protocols, making it adaptable for various network tasks.
• Scripting and Automation: Easily integrates with scripts, enabling automation of repetitive networking tasks such as connection tests or payload delivery.

Why do we recommend it?

Netcat, despite its age dating back to the early 1990s, remains a trusted and reliable tool in the utility bags of technicians globally. This command-line-based tool is the epitome of barebones functionality, devoid of fancy features, focusing on efficiently executing its core tasks. Netcat’s strength lies in its versatility and the ability to perform specific scanning methods. For example, using the -z syntax allows quiet scanning for open ports without sending data, enabling discreet assessments without triggering intrusion detection systems. Its detailed and security-oriented results make it a specialized yet powerful tool for network security purposes.

Netcat is command-line based meaning it has a steep learning curve than other GUI port scanner tools. You can get very specific with your scanning methods. For instance, you can use the -z syntax to only scan for open ports without sending data to them. This is a way to quietly scan for ports without alerting intrusion detection systems.

Let’s take a look at some of the commands and how their output would look.

To scan port ranges 50-100 for open ports quietly you could use the following command:

nc -z -v 10.10.5.8 50-100

Since the -v command was used, the results will display in a verbose form.

nc: connect to 10.10.5.8 port 20 (tcp) failed: Connection refused

nc: connect to 10.10.5.8 port 21 (tcp) failed: Connection refused

Connection to 10.10.5.8 22 port [tcp/ssh] succeeded!

nc: connect to 10.10.8.8 port 23 (tcp) failed: Connection refused

nc: connect to 10.10.5.8 port 79 (tcp) failed: Connection refused

Connection to 10.10.5.8 80 port [tcp/http] succeeded!

While these results aren’t as simple as the results you’d get for SolarWinds or ManageEngine, they are more detailed and security-oriented. That being said Netcat is definitely a more specialized tool based on network security.

Alternatively, you can even send files through Netcat and spin up an online chat server between two hosts. The tool has many uses, but one of its best features is its port scanning abilities.

Who is it recommended for?

Netcat is recommended for seasoned technicians and network security professionals who value a command-line approach and require detailed, security-focused port scanning. The tool’s steep learning curve may be challenging for beginners, but its capabilities extend beyond traditional port scanning. Netcat’s versatility allows for tasks such as sending files and establishing online chat servers between hosts. While it lacks a graphical user interface, Netcat’s specialized features make it an indispensable asset for those with a security-centric focus. It is available for both Windows and Linux environments, catering to a broad range of users in the cybersecurity domain.

Netcat is available for Windows as well as Linux environments.

7. Unicornscan

Картинка с сайта: www.itprc.com

Unicornscan is a popular port scanner tool among the security community but doesn’t get much attention outside of these small groups. This Linux command-line tool supports asynchronous TCP and UDP scanning as well as IP port scanning with service and system detection.

Key Features:

• Asynchronous Stateless Scanning: Performs asynchronous stateless TCP and UDP scanning, allowing for high-performance scans by sending probes without waiting for responses, which accelerates the scanning process.
• Custom Packet Crafting: Enables users to craft custom packets at the byte level, providing precise control over the scanning process and facilitating the evasion of certain security measures.
• Protocol-Specific Scanning: Supports protocol-specific scanning, sending tailored signatures to elicit responses from various services, enhancing the accuracy of service detection.
• Active and Passive Detection: Offers both active and passive methods for remote operating system, application, and component identification by analyzing responses, aiding in comprehensive network profiling.
• PCAP Logging and Filtering: Includes PCAP file logging and filtering capabilities, allowing for detailed analysis and record-keeping of network scans.

Why do we recommend it?

Unicornscan, a Linux command-line tool, has gained popularity within the security community for its robust port scanning capabilities. While it might not enjoy widespread recognition outside security-focused circles, its asynchronous TCP and UDP scanning, coupled with IP port scanning and detailed service and system detection, make it a powerful asset for security professionals. Unicornscan’s strength lies in its flexibility, allowing security experts to perform highly detailed scans using unconventional network discovery methods. These methods often unveil details missed by other tools during scans of remote systems and services.

Like Nmap, the tool is incredibly detailed and flexible allowing security professionals to scan devices for ports in a number of different and unique ways. One of the reasons for Unicornscan’s popularity is its use of unconventional network discovery methods that can discover details missed by other tools when scanning remote systems and services.

Although there is no GUI for Unicronscan, we find the syntax to be simple to use, even easier than Nmap in some cases. One of the easiest ways to get access to Unicornscan is to get it from a free Kali Linux distribution. Alternatively, you can install it on other forms of Linux as well.

Who is it recommended for?

Unicornscan is highly recommended for security professionals, penetration testers, and network administrators operating within the Linux environment. The tool’s popularity within the security community is a testament to its effectiveness in uncovering nuanced details during scans. While it lacks a graphical user interface, Unicornscan’s command-line syntax is user-friendly, especially for those already familiar with Linux command-line tools. Users can conveniently access Unicornscan through free distributions like Kali Linux, making it readily available for penetration testing and security assessments.

8. Pentest-Tools

Картинка с сайта: www.itprc.com

Pentest Tools is a website where you can scan ports of external IP addresses. You can think of it as an online “done for you” version of Nmap. Simply put in the external IP address you wish to scan and click scan. The light version is free, which only shares the top 100 ports and shares the hostname as well as the IP address and service version the device is running.

Key Features:

• Comprehensive Vulnerability Assessment: Offers a suite of tools to identify vulnerabilities in websites and network infrastructures, providing detailed reports and remediation recommendations.
• Attack Surface Mapping: Automatically maps the attack surface, helping security teams understand potential entry points for attackers.
• Internal Network and VPN Scanning: Supports scanning of internal networks and VPNs to detect vulnerabilities within the organization’s perimeter.
• Scan Scheduling and Automation: Allows users to schedule scans and automate testing processes, ensuring regular assessments without manual intervention.
• API Access and Integration: Provides API access for integration with other security tools and workflows, enhancing the efficiency of security operations.

Why do we recommend it?

Pentest-Tools serves as a convenient online platform for users looking to perform port scans on external IP addresses without the need for extensive technical knowledge. Comparable to an “online done-for-you” version of Nmap, Pentest-Tools simplifies the scanning process. Users can input the external IP address they want to scan and initiate the process with a click. The light version, available for free, offers insights into the top 100 ports, along with the hostname, IP address, and service version of the target device.

For access to the direct operating system, all 65535 port scan results, and a full traceroute, you’ll need to pay. Plans are broken up into four tiers and start at $65.00 per month. Considering Nmap is a free tool, I don’t think this service is worth it among technical professionals but could be useful for someone who is not as tech-savvy but still needs the results of an in-depth port scan.

Below is the output from a “light” scan with the Pentest Tools site:

Starting Nmap ( https://nmap.org ) at 2021-02-23 21:40 EET

NSE: Loaded 40 scripts for scanning.

Initiating Ping Scan at 21:40

Scanning XX.XXX.XXX.XXX [4 ports]

Completed Ping Scan at 21:40, 0.23s elapsed (1 total hosts)

Initiating SYN Stealth Scan at 21:40

Scanning ec2-XX-XX-XX-XX.compute-1.amazonaws.com (XX.XXX.XXX.XXX) [100 ports]

Discovered open port 443/tcp on XX-XX-XX-XX

Discovered open port 80/tcp on XX-XX-XX-XX

Increasing send delay for XX-XX-XX-XX from 0 to 5 due to 11 out of 15 dropped probes since last increase.

Completed SYN Stealth Scan at 21:40, 22.63s elapsed (100 total ports)

Initiating Service scan at 21:40

Who is it recommended for?

Pentest-Tools is recommended for individuals who may not possess advanced technical skills but still require the results of a thorough port scan. This online platform offers a user-friendly interface for users seeking a quick and easy way to perform port scans on external IP addresses. While technical professionals might prefer free alternatives like Nmap, Pentest-Tools could be particularly useful for those who value simplicity and convenience. For users requiring more advanced features, such as access to full port scan results and a comprehensive traceroute, subscription plans starting at $65.00 per month are available.

9. IP Fingerprints

Картинка с сайта: www.itprc.com

IP Fingerprints is another online tool that allows you to scan remote IP addresses through a few simple clicks. What’s nice about this tool is that it is entirely free and allows you to choose which ports or port ranges you want to scan. For more in-depth scanning you can switch to the Advanced tab and toggle between different types of scanning filters.

Key Features:

• Network Port Checker: Provides a Network Port Checker tool that allows users to input an IP address and a range of ports to check, helping identify open ports and assess network security.
• IP Geolocation: Offers IP geolocation services, enabling users to determine the physical location associated with a specific IP address, which can be useful for various analytical purposes.
• Traceroute Tool: Includes a traceroute feature that maps the path data packets take from the user’s device to a target IP address, assisting in diagnosing network connectivity issues.
• Ping Utility: Provides a ping utility to test the reachability of a host on an IP network, measuring round-trip time for messages sent to the destination.
• WHOIS Lookup: Users can perform WHOIS lookups to retrieve registration details of domain names or IP addresses, offering insights into ownership and administrative contacts.

Why do we recommend it?

IP Fingerprints stands out as a valuable online tool for port scanning remote IP addresses with ease and simplicity. This tool offers a user-friendly interface that allows users to initiate scans through a few straightforward clicks. Notably, IP Fingerprints is entirely free, providing an accessible option for users seeking basic port scanning functionality. One of its notable features is the ability to customize scans by selecting specific ports or port ranges. Additionally, the Advanced tab offers more in-depth scanning options, allowing users to choose from various scan types such as SYN stealth, NULL stealth, FIN stealth, XMAS, ACK, and Window scans. The tool also provides flexibility in ping types, including TCP, ICMP, or both, along with options for OS detection and the use of fragmented packets to evade firewall detection.

For instance, you can choose between scan-type methods, and sort through SYN stealth, NULL stealth, FIN stealth, XMAS, ACK, and Window scans. If you want to use ping instead you can choose between TCP, ICMP, or both for your ping type. There are a few general options that can be turned on for more details, such as OS detection and the ability to use fragmented packets to avoid firewall detection.

While this tool can take a long time depending on how large your port range is, it’s an excellent online alternative for port scanning with plenty of customization options that are usually only reserved for tools like Nmap or Unicornscan.

Below are the results from a port scan I ran checking ports 80-5000. It took roughly 10 minutes to complete.

Host is up (0.095s latency).

Not shown: 911 closed ports

PORT    STATE    SERVICE

80/tcp  open    http

111/tcp filtered rpcbind

135/tcp filtered msrpc

136/tcp filtered profile

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

445/tcp filtered microsoft-ds

513/tcp filtered login

520/tcp filtered efs

Who is it recommended for?

IP Fingerprints is recommended for users who prioritize simplicity and customization in an online port scanning tool. This tool is suitable for individuals looking for a free and accessible solution for scanning remote IP addresses. While the scanning process may take time depending on the port range, IP Fingerprints serves as an excellent online alternative, offering customization options typically found in more advanced tools like Nmap or Unicornscan. Whether users are new to port scanning or seek a straightforward online tool with customization capabilities, IP Fingerprints is a valuable choice.

Which port scanner tool is right for you?

While we’ve narrowed it down to the best port scanner tools, you may be wondering which one is best for you. SolarWinds Port Scanner is going to provide the best general overall port scanning for most sysadmins and general technicians. Its ease of use and quick installation secure its place at number one.

For those who want to dive deep into port scanning for cybersecurity research and penetration testing, Nmap is a tried-and-true professional port scanning tool that has been in use since the early 1990s. For those who are looking for an alternative to Nmap, I’d highly recommend Unicornscan for similar functionality with more unique scanning features.

Do you have a favorite port scanner? If so, let us know about it in the comments below.