Port Scanning: সাইবার আক্রমণের প্রাথমিক ধাপে সিস্টেমের উন্মুক্ত পোর্ট শনাক্তকরণ!

Port Scanning হলো একটি Network Reconnaissance কৌশল যেখানে স্ক্যানার লক্ষ্য Host-এ বিভিন্ন Port-এ প্যাকেট পাঠায় এবং প্রতিক্রিয়া বিশ্লেষণ করে নির্ধারণ করে কোন Port Open, Closed, বা Filtered অবস্থায় আছে। এই তথ্য থেকে লক্ষ্যের চলমান সেবা, অপারেটিং সিস্টেম, এবং সম্ভাব্য Attack Surface সম্পর্কে গুরুত্বপূর্ণ ধারণা পাওয়া যায়।

Port Scanning-এর বৈধ ব্যবহারের অনেক ক্ষেত্র রয়েছে। Network Administrator-রা নিজেদের নেটওয়ার্কের Inventory তৈরি, অননুমোদিত সেবা শনাক্তকরণ, এবং Firewall কনফিগারেশন যাচাইয়ের জন্য Port Scan করেন। Penetration Tester-রা ক্লায়েন্টের লিখিত অনুমোদন নিয়ে Attack Surface ম্যাপ করেন। Security Researcher-রা Vulnerability Assessment এবং Threat Intelligence-এর জন্য ইন্টারনেট-স্তরের স্ক্যান চালান।

তবে অনুমোদন ছাড়া অন্যের সিস্টেমে Port Scan করা অনেক দেশে আইনত নিষিদ্ধ। যুক্তরাষ্ট্রের Computer Fraud and Abuse Act (CFAA), UK Computer Misuse Act, এবং বাংলাদেশের ICT Act-এর মতো আইন এই ধরনের কার্যক্রমকে অপরাধ হিসেবে চিহ্নিত করেছে। তাই Port Scanning সবসময় উপযুক্ত অনুমোদন এবং নৈতিক সীমার মধ্যে পরিচালনা করা উচিত।

TCP SYN Scan বা Half-open Scan সবচেয়ে জনপ্রিয় কৌশল। স্ক্যানার একটি SYN প্যাকেট পাঠায়, কিন্তু সম্পূর্ণ Three-way Handshake সম্পন্ন করে না। যদি SYN-ACK ফিরে আসে, Port Open; যদি RST ফিরে আসে, Port Closed; যদি কোনো প্রতিক্রিয়া না আসে, Port সম্ভবত Filtered। Half-open বলা হয় কারণ স্ক্যানার ACK পাঠানোর পরিবর্তে RST পাঠিয়ে সংযোগ ভেঙে দেয়—এতে সংযোগ Application স্তরে কখনো স্থাপিত হয় না, তাই অনেক ক্ষেত্রে Server লগে এটি ধরা পড়ে না।

TCP Connect Scan সম্পূর্ণ Three-way Handshake সম্পাদন করে এবং Application স্তরে সংযোগ স্থাপিত হয়। এটি সবচেয়ে নির্ভরযোগ্য পদ্ধতি এবং Administrator অধিকার ছাড়াই করা যায়, কিন্তু সবচেয়ে শব্দপূর্ণ—প্রতিটি সংযোগ Server লগে স্পষ্টভাবে রেকর্ড হয়।

UDP Scan অপেক্ষাকৃত জটিল এবং ধীর। UDP-তে Acknowledgement নেই, তাই কোনো প্রতিক্রিয়া না আসলে নিশ্চিতভাবে বলা যায় না Port Open কিনা। যদি ICMP Port Unreachable ফিরে আসে, Port Closed। যদি UDP প্রতিক্রিয়া আসে, Open। অন্যান্য ক্ষেত্রে Open|Filtered হিসেবে চিহ্নিত হয়। ICMP Rate Limiting-এর কারণে UDP স্ক্যান সাধারণত TCP-এর চেয়ে অনেক ধীর।

Stealth Scan-এর বিভিন্ন রূপ রয়েছে যা Firewall এবং IDS এড়ানোর চেষ্টা করে। FIN Scan-এ শুধু FIN ফ্ল্যাগ-যুক্ত প্যাকেট পাঠানো হয়—RFC 793 অনুযায়ী Closed Port RST প্রতিক্রিয়া দেবে, Open Port কোনো প্রতিক্রিয়া দেবে না। NULL Scan-এ কোনো ফ্ল্যাগ ছাড়া প্যাকেট পাঠানো হয়। XMAS Scan-এ FIN, PSH, এবং URG ফ্ল্যাগ একসাথে সেট করা হয়। তবে আধুনিক Stateful Firewall অধিকাংশ Stealth Scan সনাক্ত করতে পারে।

ACK Scan সাধারণত Port অবস্থা নির্ধারণে ব্যবহৃত হয় না, বরং Firewall Rule ম্যাপিং-এ। ACK ফ্ল্যাগ-যুক্ত প্যাকেট প্রকৃত সংযোগের অংশ মনে হওয়ার কথা—যদি Firewall তা ব্লক করে, তাহলে Filtered, যদি RST ফিরে আসে, Unfiltered। এটি বুঝতে সাহায্য করে কোন Port-এ Firewall কাজ করছে।

Idle Scan বা Zombie Scan একটি অত্যাধুনিক কৌশল যেখানে আক্রমণকারীর IP লক্ষ্যের লগে দেখা যায় না। একটি "Zombie" Host (যা পূর্বাভাসযোগ্য IPID Sequence ব্যবহার করে) মাধ্যম হিসেবে ব্যবহৃত হয়। স্ক্যানার Zombie-এর IPID পর্যবেক্ষণ করে এবং লক্ষ্যের কাছে Spoofed SYN পাঠায় যেন Source Zombie। Port-এর অবস্থা Zombie-এর পরবর্তী IPID থেকে নির্ণয় করা হয়। আধুনিক OS-এ Random IPID-এর কারণে Idle Scan কম কার্যকর।

Nmap (Network Mapper) ১৯৯৭ সালে Gordon "Fyodor" Lyon তৈরি করেছিলেন, এবং আজও এটি Port Scanning-এর সবচেয়ে শক্তিশালী এবং বহুল ব্যবহৃত টুল। Open Source এবং Cross-platform, Nmap একটি Engineering Marvel যা সাধারণ Port Scan থেকে শুরু করে Service Detection, OS Fingerprinting, এমনকি Vulnerability Scanning পর্যন্ত করতে পারে।

মৌলিক Nmap কমান্ড সহজ। nmap target.com শুধু একটি Default Scan চালায় যা ১০০০টি সবচেয়ে সাধারণ TCP Port পরীক্ষা করে। -p- যোগ করলে সব ৬৫৫৩৫টি Port স্ক্যান হয়। -p 80,443 দিয়ে নির্দিষ্ট Port। -sS SYN Scan, -sT Connect Scan, -sU UDP Scan নির্দেশ করে। -sV Service Version Detection সক্রিয় করে—এটি Open Port-এর সেবার নাম এবং Version নির্ণয়ের চেষ্টা করে।

-O ফ্ল্যাগ OS Fingerprinting সক্রিয় করে। Nmap লক্ষ্যের TCP/IP Stack-এর সূক্ষ্ম বৈশিষ্ট্য বিশ্লেষণ করে—Initial Window Size, TCP Options Ordering, ISN Generation Pattern—এবং পরিচিত OS Signature-এর সাথে তুলনা করে। অধিকাংশ আধুনিক OS-এর জন্য Nmap সঠিকভাবে শনাক্ত করতে পারে।

-A "Aggressive" মোড সক্রিয় করে যা Service Detection, OS Detection, Script Scanning এবং Traceroute একসাথে চালায়। এটি Comprehensive কিন্তু শব্দপূর্ণ। স্টিলদির জন্য -T0 থেকে -T5 পর্যন্ত Timing Template রয়েছে—T0 Paranoid (অত্যন্ত ধীর, IDS এড়ানোর জন্য), T5 Insane (অত্যন্ত দ্রুত, স্থানীয় নেটওয়ার্কের জন্য)।

Nmap Scripting Engine (NSE) Nmap-কে একটি সম্পূর্ণ Vulnerability Assessment প্ল্যাটফর্মে রূপান্তরিত করে। ৬০০-এর বেশি স্ক্রিপ্ট রয়েছে—দুর্বলতা সনাক্তকরণ, Brute-force, Service Enumeration, Malware Detection-এর জন্য। nmap --script vuln target.com বিভিন্ন পরিচিত দুর্বলতার জন্য স্ক্যান চালায়। nmap --script ssl-enum-ciphers SSL/TLS কনফিগারেশন বিশ্লেষণ করে।

Masscan ২০১৩ সালে Robert Graham তৈরি করেছিলেন বিশাল-স্কেল স্ক্যানিং-এর জন্য। এটি দাবি করে সম্পূর্ণ ইন্টারনেট ৬ মিনিটে স্ক্যান করতে পারে যদি যথেষ্ট ব্যান্ডউইথ থাকে। Masscan নিজস্ব TCP/IP Stack ব্যবহার করে যা OS Kernel বাইপাস করে এবং Asynchronous প্যাকেট প্রেরণে দক্ষ। তবে এটি Nmap-এর মতো Detailed Service Detection প্রদান করে না।

ZMap Michigan University-এর গবেষকরা তৈরি করেছেন। এটি একটি Single Port-এ সম্পূর্ণ ইন্টারনেট ৪৫ মিনিটে স্ক্যান করতে পারে। ZMap এবং Censys-এর মতো প্রকল্প Internet-wide গবেষণায় বিপ্লব এনেছে—গবেষকরা নিয়মিত বিশ্বব্যাপী SSL/TLS, SSH, HTTPS কনফিগারেশনের পরিসংখ্যান প্রকাশ করেন।

RustScan আধুনিক একটি টুল যা গতি এবং Nmap সংহতির জন্য জনপ্রিয়। এটি প্রথমে দ্রুত Port Discovery চালায়, তারপর Open Port-গুলো Nmap-এ পাঠায় Detailed Analysis-এর জন্য। Naabu, Unicornscan—অন্যান্য বিকল্প টুলও বিভিন্ন উদ্দেশ্যে ব্যবহৃত হয়।

বাণিজ্যিক Vulnerability Scanner যেমন Nessus, Qualys, Rapid7 InsightVM—এদেরও Port Scanning ক্ষমতা রয়েছে কিন্তু এগুলো প্রধানত দুর্বলতা সনাক্তকরণে ফোকাস করে। OpenVAS (এখন Greenbone) Free এবং Open Source বিকল্প।

Port Open শনাক্ত করা শুধু শুরু—আক্রমণকারী জানতে চান কী সেবা চলছে এবং কোন Version। Banner Grabbing হলো সবচেয়ে মৌলিক পদ্ধতি। নেটক্যাট (nc target.com 80) বা টেলনেট দিয়ে Port-এ সংযোগ করে প্রথম কয়েকটি বাইট পড়লে অনেক সেবা স্বেচ্ছায় তাদের পরিচয় প্রকাশ করে। SSH Banner-এ Server Software এবং Version, SMTP Greeting-এ Mail Server-এর নাম, HTTP Server Header-এ Web Server-এর তথ্য থাকে।

Nmap-এর -sV নির্দিষ্ট Service Probe ব্যবহার করে আরো বিস্তারিত শনাক্ত করে। যদি Default Probe সাফল্য না দেয়, Nmap বিভিন্ন প্রোটোকলের প্রোব চেষ্টা করে। --version-intensity 9 সবচেয়ে আক্রমণাত্মক Version Detection সক্রিয় করে।

OS Detection-এ Active এবং Passive পদ্ধতি রয়েছে। Active Detection (Nmap -O) সরাসরি প্যাকেট পাঠিয়ে প্রতিক্রিয়া বিশ্লেষণ করে। Passive Detection (p0f) শুধু নেটওয়ার্ক ট্র্যাফিক পর্যবেক্ষণ করে—আক্রমণকারীর জন্য সম্পূর্ণ স্টিলদি কিন্তু কম তথ্যপূর্ণ।

Application-level Enumeration প্রতিটি সেবার জন্য বিশেষায়িত। SMB Enumeration-এ enum4linux, smbclient ব্যবহৃত হয়। SNMP-এর জন্য snmpwalk, onesixtyone। SMTP-এর জন্য VRFY এবং EXPN কমান্ড। প্রতিটি সেবার নিজস্ব Reconnaissance পদ্ধতি রয়েছে।

আধুনিক Network Monitoring সিস্টেম Port Scanning সনাক্তে দক্ষ। SIEM সিস্টেম এক IP থেকে অল্প সময়ে অনেক ভিন্ন Port-এ সংযোগ চেষ্টা দেখলে Alert তৈরি করে। IDS/IPS-এর সাধারণ Signature যেমন Snort-এর "scan" rules দ্রুত স্ক্যান সনাক্ত করে। Stateful Firewall অস্বাভাবিক প্যাকেট Pattern (Stealth Scan-এর FIN, NULL, XMAS) ব্লক করে।

আক্রমণকারীরা সনাক্তকরণ এড়াতে বিভিন্ন কৌশল ব্যবহার করেন। Timing Slowdown (Nmap -T0, -T1) সবচেয়ে সহজ—সময়ের সাথে ছড়িয়ে দিলে IDS-এর Threshold অতিক্রম হয় না। Source IP Distribution-এ একাধিক IP থেকে স্ক্যান চালানো হয়—Botnet, Proxy বা Tor-এর মাধ্যমে। Decoy Scanning (Nmap -D)-এ স্ক্যানার প্রকৃত উৎসের পাশাপাশি ভুয়া উৎসও দেখায়, Defender-কে বিভ্রান্ত করতে।

Fragmentation (Nmap -f) প্যাকেটকে ছোট ছোট অংশে বিভক্ত করে যা পুরনো IDS এড়াতে সক্ষম। MTU Manipulation, Source Port Spoofing (--source-port 53 DNS-এর মতো দেখাতে), Bad Checksum-যুক্ত প্যাকেট—এসব কৌশল বিভিন্ন প্রতিরক্ষা ব্যবস্থাকে চ্যালেঞ্জ করে।

আধুনিক Cloud পরিবেশে Port Scanning জটিলতর। AWS, GCP, Azure-এ Source NAT-এর কারণে আক্রমণকারীর IP প্রায়শই অস্পষ্ট। AWS GuardDuty এবং Azure Defender Port Scanning Pattern সনাক্তে AI/ML ব্যবহার করে।

Port Scanning সম্পূর্ণ প্রতিরোধ করা সম্ভব নয়—যদি কোনো Port Open থাকে, তবে কেউ না কেউ স্ক্যান করেই জানবে। তবে সনাক্তকরণ এবং প্রভাব কমানো সম্ভব।

Attack Surface Minimization হলো সবচেয়ে কার্যকর পদক্ষেপ। অপ্রয়োজনীয় সেবা বন্ধ করুন। Public IP-তে শুধুমাত্র অপরিহার্য সেবা Bind করুন। Database, Admin Panel, Internal Tool-গুলো VPN বা Bastion Host-এর পেছনে রাখুন। AWS Security Group-এ Public 0.0.0.0/0 শুধুমাত্র Web Server (80, 443)-এর জন্য সীমাবদ্ধ রাখুন।

Stateful Firewall স্থাপন করুন যা শুধু বৈধ সংযোগ অনুমতি দেয়। Default-deny নীতি অনুসরণ করুন। Modern Firewall (pfSense, OPNsense, বা বাণিজ্যিক NGFW) Port Scanning সনাক্তকরণ এবং স্বয়ংক্রিয় ব্লকিং সমর্থন করে।

IDS/IPS স্থাপন করুন। Snort, Suricata, Zeek-এর মতো Network Security Monitoring সরঞ্জাম Port Scanning Pattern সনাক্তে নিয়ম রাখে। SIEM-এ এদের Alert সংগ্রহ এবং সমন্বয় করুন।

Rate Limiting এবং Port Knocking-এর মতো কৌশল উন্নত Defense-in-Depth প্রদান করে। Fail2Ban-এর মতো টুল ব্যর্থ সংযোগ চেষ্টার উপর ভিত্তি করে IP ব্লক করে। Port Knocking-এ Port "বন্ধ" থাকে যতক্ষণ না একটি নির্দিষ্ট ক্রমে প্যাকেট পাঠানো হয়—যা আক্রমণকারীর কাছে দৃশ্যমান নয়।

Honeypot এবং Deception স্থাপন বিবেচনা করুন। T-Pot, Cowrie-এর মতো Honeypot আক্রমণকারীকে বিভ্রান্ত করে এবং তাদের কৌশল সম্পর্কে ইন্টেলিজেন্স প্রদান করে। যেকোনো Honeypot-এ স্ক্যান বা সংযোগ চেষ্টা প্রকৃত আক্রমণের শক্তিশালী সূচক।

Cloud-native সমাধানে Web Application Firewall (Cloudflare, AWS WAF), DDoS Protection, এবং Bot Management Port Scanning-এর প্রভাব কমায়। Zero Trust Architecture-এ প্রতিটি অ্যাক্সেস Identity-ভিত্তিক যাচাই হয়—Port-ভিত্তিক আক্রমণ পৃষ্ঠ মূলত নির্মূল হয়।