UDP と TCP/IP
標準ネットワークでは、2 つのプロトコルが一般的です。UDP と TCP です。ユーザー・データグラム・プロトコル(UDP)はコネクションレス・プロトコルで、コンピュータは受信者が利用可能かどうか、あるいは受信しているかどうかを知ることなく、受信者にメッセージを送信する。基本的なオンライン・テキスト・メッセージング・ソフトウェアは UDP を使用します。相手がメッセージを受信するためにオンラインであるかどうかを知る必要はありません。
伝送制御プロトコル(TCP:Transmission Control Protocol)はコネクションベースのプロトコルで、データ伝送の前にハンドシェイクが行われます。UDP は TCPよりも軽量ですが、TCP は、ハンドシェイクと呼ばれるプロセスを使用して、相手がオンラインであり、利用可能であることを保証するものです。TCP ハンドシェイクは、ユーザーがサーバーからコンテンツをダウンロードする前にハンドシェイクが発生する Web アプリケーションに共通しています。
TCP/IP の IP(インターネット・プロトコル)コンポーネントは、サーバー、モバイル・デバイス、デスクトップ・コンピュータ、IoT デバイス、データの送受信を必要とするその他のマシンなど、接続されている全てのマシンに割り当てられたアドレスです。ほとんどのアプリケーションは、接続ベースのデータ転送に TCP/IP を使用していますが、UDP は軽量な通知やチャット・アプリケーションにも役立ちます。
Nmap ツールは、接続されたデバイスのオープン TCP や UDP ポートをスキャンします。Nmap コマンドを実行した後の出力を見ると、リストされているオープン・ポートにもプロトコルが表示されます。また、Nmap は、状態がオープンかクローズか、さらにそのポートで実行されているサービスも通知します。
Network Mapper(Nmap)
Nmap ツールは、グラフィカル・ユーザ・インターフェース(GUI)や標準コマンドライン・インターフェースを備えたスキャン・アプリケーションです。このツールは、ネットワーク上のコンピュータを検出し、開いているポートをスキャンします。Nmap は、コンピュータ以外もスキャンします。デスクトップ、モバイル・デバイス、ルーター、IoT デバイスなど、ネットワークに接続されたあらゆるデバイスをスキャンします。
Nmap は、開発者向け Web サイトで無料で利用できるオープンソース・ツールです。Linux、Mac、Windows オペレーティング・システム上で動作します。このユーティリティは、長年にわたり、ほとんどのネットワーク管理者や倫理的ハッキング・ツールの一部であり、ネットワーク上のデバイスを検索し、脆弱なサービスが実行されているかどうかを判断するのに役立ちます。
Nmap UDP スキャンの実行方法
Nmap スキャンを実行する前に、Nmap GUI を開くか、コマンドライン・ユーティリティを開きます。ほとんどの管理者は、Nmap をコマンドラインで使用します。これは、基本的な出力がレビューのために迅速かつ簡単に使用できるためです。コマンドを入力すると、Nmap ツールはサブネット上のデバイスを検索します。各サブネットには明確なホスト数があるため、Nmap はあらゆる可能性をスキャンしてホストの応答を検出します。ホストの応答により、Nmap ツールはオープン UDP と TCP ポートを識別します。
また、Nmap 上の特定のポートをスキャンすることもできます。全ての IP アドレスをスキャンする必要はありません。ポートには 1 ~ 65,535 の数値が与えられているため、スキャンを実行する前に、特定のポートで実行されているサービスを検索する必要があります。ポートを選択すると、次のコマンドを実行できます。
nmap -p 22 192.168.1.100
上記の Nmap スキャンでは、IP アドレス 192.168.1.100 のデバイスで実行されているオープン・ポート 22(SSH サービス)を検索します。サービスがターゲット・ホストで実行されている場合、Nmap 出力は状態をオープンとして表示します。そうでない場合は、Nmap 出力に閉じた状態が表示されます。
UDP スキャンは TCP スキャンよりも遅いため、ツールが出力を表示するまでに応答に極端な遅延や長い遅延が発生する可能性があります。ホストによっては、Nmap プロセスを最適化しない場合、スキャンに最大 1 時間かかる場合があります。ユースケースに応じて UDP スキャンを高速化できます。例えば、次の Nmap コマンドを使用すると、応答の遅いホストを排除し、ホストが 1 分以内に応答しない場合にスキャンを放棄できます。
nmap 192.168.1.100 --host-timeout 1m
TCP または UDP を指定せずに、Nmap は全てのオープン・ポートを試行します。スキャンを最適化するもう 1 つの方法は、UDP ポートに制限し、バージョン強度を設定することです。バージョン強度を 0 に設定すると、ターゲット・ホストで実行されている共通サービスのみが表示されます。バージョン強度は 0 ~ 9 です。強度が高いほど、ターゲット・ホストに送信されるプローブの数も多くなります。Nmap のデフォルトは 7 です。次のコマンドを実行すると、ホスト上の共通のポートのみが検出されます。
nmap 192.168.1.100 -sU -sV –version-intensity 0
Nmap で UDP スキャンを行う理由
管理者には、Nmap を使用して UDP スキャンを実行する理由がいくつかあります。ネットワークを監査するだけで、不要なポートが開かれていないか確認することができます。サイバーセキュリティ上の理由から、不要なサービスを無効にする必要があります。Nmapスキャンは、シャットダウン可能なサービスを実行しているマシンを管理者に知らせます。
UDP スキャンのもう 1 つの理由は、ネットワーク上の脆弱性を検出することです。攻撃者がマルウェアをネットワークにインストールできる場合、侵害されたホストが UDP ポートで悪意のあるサービスを実行している可能性があります。Nmap スキャンを使用すると、管理者はオープン・ポートを検出し、ホストで追加のスキャンと分析を実行します。
Nmap は、ネットワーク上のホストを検出するためにも使用できます。Shadow IT とは、ネットワークにインストールされた未承認のデバイスに与えられる用語です。管理者は、未承認のデバイスを見つけ、誰が所有し、どのように環境にインストールされたかを知ることができます。
まとめ
ネットワーク・セキュリティを担当する管理者にとって、Nmap ツールは優れた監査、脆弱性スキャナーです。Nmap は、環境上で実行すべきでないマシン、オペレーティング・システム、サービスを検出できます。不正なデバイスやオープン・ポートの発見は、ホストを保護し、企業データを保護するために不可欠です。ポート・スキャンは、データセンターの安全を維持するために必要な監視の 1 つの側面にすぎません。ピュア・ストレージの高性能、スケーラブル、シンプルなデータ・インフラ・ソリューションが、セキュリティ分析を強化します。
