Гладиаторы - меню
Гладиаторы - меню

Как правильно проводить анализ уязвимостей в корпоративной сети?

Анализ уязвимостей корпоративной сети — это системный и многоэтапный процесс, целью которого является обнаружение, подтверждение и ранжирование слабых мест в инфраструктуре компании. Регулярная диагностика сети помогает снизить вероятность успешных атак, минимизировать время простоя и защитить критичные бизнес-данные. Анализ должен проводиться в рамках согласованной политики, с получением разрешений от владельцев активов и с учётом возможного влияния на производственную среду.

В этом материале мы подробно пройдём по методам обнаружения хостов и сервисов (включая ping-сканирование и сканирование портов), рассмотрим редкие и «стелс»-методы, разберём параметры сканирования, инструментарий, принципы работы средств анализа защищенности, порядок обработки результатов и приоритеты устранения уязвимостей. В тексте естественно встречаются практические формулировки, которые часто используются в реальной работе: диагностика сети, сканирование портов, каким образом можно сделать проверку сетевых параметров, средства анализа защищенности, destination port unreachable, сканер портов в локальной сети, icmp destination unreachable port unreachable.


Содержание:

Команда редакторов "Гладиаторы ИБ"
Дата публикации: 11.08.2025
Время прочтения 9 минут

Ping-сканирование

Ping-сканирование — начальный этап, позволяющий быстро определить список активных устройств в заданном диапазоне адресов. На практике применяют несколько подходов:
  1. Классический ICMP Echo Request/Echo Reply (ping).
  2. TCP-пинг (посылка TCP SYN на порт, например 80 или 443 — если ответ SYN/ACK — хост жив).
  3. ARP-пинг в локальной сети — самый надёжный в пределах одного сегмента, потому что ARP работает на канальном уровне и не блокируется локальными межсетевыми экранами на уровне IP.

При выполнении ping-сканирования важно учитывать, что многие устройства блокируют ICMP или фильтруют ответы. В таких случаях в результатах сканирования можно увидеть сообщения об ошибках сетевого уровня, например destination port unreachable или более развёрнутое icmp destination unreachable port unreachable — это сигнал о том, что к указанному порту не удалось установить соединение (обычно для UDP). Такие сообщения фиксируются в сетевых дампах (tcpdump/wireshark) и помогают интерпретировать состояние хоста и состояния его портов.

Примеры команд:
# Быстрый ICMP-скан диапазона
nmap -sn 192.168.1.0/24

# ARP-скан на локальной сети (быстро и точно)
arp-scan --localnet

Если цель — понять, какие хосты активно отвечают в сети, ping-сканирование даёт первую картину и формирует список целей для последующего сканирования портов.

Сканирование портов

После инвентаризации активных хостов следует этап сканирования открытых сервисов — сканирование портов. Это основной способ выяснить, какие приложения слушают на каких портах и, соответственно, какие из них потенциально уязвимы.

Типичные методы сканирования портов:
  • TCP Connect Scan: полное установление TCP-соединения (надежно, но долго и полноценно логируется).
  • SYN Scan (полуоткрытый): отправляется SYN; если приходит SYN/ACK — порт открыт; RST — закрыт. Менее «шумный».
  • UDP Scan: отправляются UDP-датаграммы; если приходит ICMP Type 3 Code 3 (destination port unreachable) — порт закрыт; если нет ответа — состояние open|filtered.
  • Service/version detection: попытка определить версию сервиса (-sV в nmap).
  • OS detection: определение ОС по сетевому стеку (-O в nmap).

В локальной сети для быстрой инвентаризации часто используют специальный сканер портов в локальной сети — утилиты, оптимизированные под ARP/локальные ответы (пример: arp-scan, netdiscover, nmap с ARP-пингом). Сканирование портов на большом диапазоне требует аккуратной настройки таймингов и частоты, чтобы не перегрузить сеть и не вызвать срабатывание IDS/IPS.

Пример команд nmap:
# Стандартное TCP сканирование с определением версии сервиса
nmap -sS -sV -p1-65535 -T3 192.168.1.10

# UDP-скан (медленно и ресурсозатратно)
nmap -sU -pU:1-1024 -T2 192.168.1.0/24

При интерпретации результатов UDP-скана часто встречается сообщение destination port unreachable — это ровно тот сетевой ответ, который указывает, что UDP-порт закрыт. Если же в ответ никакого ICMP не приходит — порт может быть открыт или фильтруется (open|filtered).

Редкие методы сканирования

Иногда стандартные способы не дают полной картины или срабатывают средства защиты. Тогда применяют специфические методы:

  • FIN, XMAS, NULL Scan: отправка TCP-пакетов с нестандартными флагами для обхода простых фильтров. Поведение зависит от стека ОС.
  • Fragmented Packets Scan: фрагментация заголовков для попытки обойти сигнатуры IDS.
  • Idle Scan: скрытное сканирование через «зомби»-хост (используется редко и требует подходящего промежуточного узла).
  • DNS zone transfer, SNMP walk: for service-specific discovery — если конфигурация ненадёжна, можно получить список хостов/настроек.
  • Banner grabbing и fuzzing сервисов, чтобы найти нестандартное поведение.

Эти методы повышают вероятность обнаружить скрытые сервисы или получить информацию, недоступную классическими сканами, но требуют осторожности: они легче могут вызвать сбои или привлечь внимание систем мониторинга.

Процесс выявления уязвимостей

Процесс должен быть регламентирован и повторяем. Классическая последовательность:

  1. Подготовка и получение разрешений: согласование диапазонов, исключений (белые списки), временных окон, коммуникации с командами.
  2. Инвентаризация активов: сбор всех IP-адресов, VLAN, критичных сервисов и владельцев.
  3. Ping-сканирование и discovery: быстрый список «живых» узлов.
  4. Сканирование портов и сервисов: TCP/UDP/ARP и дополнительные методы.
  5. Credentialed scan (аутентифицированное сканирование): вход под служебными учетными данными (WMI/WinRM/SSH) для глубокого анализа конфигураций.
  6. Сопоставление результатов со списком известных уязвимостей (CVE): автоматическое и ручное сопоставление.
  7. Валидация и триаж: ручная проверка ложных срабатываний, воспроизведение проблем в тестовой среде.
  8. Формирование отчёта и планов устранения: технические рекомендации, приоритеты, временные рамки.
  9. Повторное сканирование и контроль устранения: подтверждение исправлений.

Ключевые элементы: контроль качества данных, минимизация влияния на продакшн и прозрачность для владельцев активов.

Параметры сканирования

Правильная настройка параметров определяет эффективность и безопасность процедуры.

  • Диапазон адресов и исключения: никогда не запускайте сканирование вне согласованных диапазонов.
  • Типы портов: закрывать/сканировать только необходимые диапазоны, отдельно UDP и TCP.
  • Тайминги (-T в nmap): для продакшна лучше T2–T3; агрессивный T4–T5 может перегружать сети и вызывать ложные срабатывания.
  • Параллелизм и скорость (rate): для masscan и подобных инструментов задавайте ограничение скорости.
  • Таймауты и повторы: UDP-сканы требуют увеличенных таймаутов; настройте retries и host-timeout.
  • Credentialed vs non-credentialed: авторизованные сканы дают более точную картину (меньше false positives).
  • Политика обхода (stealth/fragmentation/decoys): применять только при согласовании и в контролируемой среде.
  • Лимиты по времени и оконность: сканирование в нерабочее время или согласованные окна.

Пример параметров для аккуратного сканирования:
nmap -sS -p1-65535 -T3 --min-rate 100 --max-retries 2 192.168.10.0/24

Инструментарий

Практически каждый этап анализа поддерживается набором инструментов. В сетевом сканировании и первичной диагностике популярны:

  • Nmap — универсальный инструмент discovery и сканирования портов.
  • Masscan — для очень быстрого сканирования больших диапазонов (требует аккуратности).
  • arp-scan, netdiscover — для быстрого обнаружения устройств в локальной сети.
  • hping3 — генерация специализированных пакетов (TCP/UDP/ICMP) для тестирования сетевого поведения.
  • tcpdump, Wireshark — захват трафика и анализ ответов (например, icmp destination unreachable port unreachable).
  • Netcat (nc) — быстрые проверки соединений и banner grabbing.
  • ss / netstat — локальная диагностика сокетов на хосте.
  • smbclient, rpcclient, snmpwalk — специфичные протоколы для развёрнутой проверки.

Для автоматического сопоставления и полного анализа применяют специализированные платформы (см. следующий раздел).

Средства анализа защищенности

Средства анализа защищенности — это более высокоуровневые системы, которые объединяют сканирование, анализ, базу уязвимостей и отчётность. Основные свойства таких систем:

  • Централизованное управление сканированием.
  • Поддержка credentialed и non-credentialed режимов.
  • Автоматическое сравнение с CVE/эксплойт-базами.
  • Оценка риска (часто на базе CVSS) и рекомендации.
  • Интеграция с CMDB, SIEM и задачниками для автоматизации исправлений.

Как работают системы анализа защищенности

Типичная архитектура и цикл:

  1. Discovery-модуль собирает активы и выполняет initial scan.
  2. Сканирующие датчики настраиваются для разных сегментов сети (on-prem, cloud, remote).
  3. Данные сканирования передаются в движок корреляции, который сверяет обнаруженные сервисы с базой уязвимостей.
  4. Для многих проверок используются два режима:
  • Non-credentialed (через сеть): быстрый, но с большим числом ложных срабатываний.
  • Credentialed (логин на хост): даёт доступ к конфигурациям, установленным пакетам, реальным версиям и уменьшает false positives.
5. Результаты получают оценку риска: CVSS, влияние на бизнес, эксплойты в природе.
6. Отчёты, тикеты и рекомендации направляются владельцам активов. Инструменты могут автоматически создавать задания в системах трекинга (Jira, ServiceNow).
7. После исправления запускается верификация (re-scan).

Очень важно настраивать частоту сканирования в соответствии с изменчивостью окружения: критичные сертификационные сканы — чаще, статичные — реже.

Сканирование и результаты

После выполнения сканирования администратор получает массив данных: список хостов, открытых портов, баннеры сервисов, версии ПО, возможные уязвимости и рекомендации.

Работа с результатами включает:

  1. Очистка и фильтрация: удалить сканеры/агенты, которые не являются целью.
  2. Триаж: разделение на ложные срабатывания и подтверждённые уязвимости.
  3. Валидация: ручная проверка критичных находок, иногда с использованием эксплойтов в контролируемой среде (песочнице) для подтверждения фактической уязвимости.
  4. Классификация по критичности и привязка к владельцам.
  5. Формирование отчёта с кратким резюме для руководства и детальными тех. рекомендациями для техников.

Примеры интерпретации сетевых ответов:
  • ICMP Type 3 Code 3 (destination port unreachable): указывает, что порт UDP закрыт. Это полезно при UDP-сканах — наличие такого сообщения даёт уверенность, что порт закрыт.
  • Полное отсутствие ответа при UDP-скане: состояние open|filtered — либо порт открыт и не отвечает на пустые UDP-пакеты, либо пакет потерялся из-за фильтрации.
  • При TCP-сценариях SYN/ACK означает открытый порт, RST — закрыт.

Используйте захват трафика (tcpdump) для подтверждения сетевых ответов:
tcpdump -n -i eth0 icmp

В выводе вы можете увидеть строки с текстом icmp destination unreachable port unreachable, которые укажут на характер ответа.

Устранение уязвимостей

Устранение — это не просто «установить патч». Подход должен быть системным:

  1. Патчирование и обновление версий ПО.
  2. Закрытие неиспользуемых портов и отключение ненужных сервисов.
  3. Применение краткосрочных компенсационных мер: фильтрация трафика, ACL, изменение маршрутов.
  4. Усиление конфигурации сервисов (hardening): минимизация прав, использование TLS, ограничение интерфейсов прослушивания.
  5. Сегментация сети: отделение критичных сегментов и минимизация поверхности атаки.
  6. Внедрение контроля доступа на уровне сети (NAC), WAF для веб-сервисов, ограничение административного доступа через jump-host.
  7. Разработка плана реагирования и регулярное повторное сканирование.

Каждое исправление должно сопровождаться проверкой: re-scan и аудит конфигураций, а также документированием изменений в CMDB.

Приоритет устранения уязвимостей

Приоритезация критична, потому что ресурсов на исправление всего и сразу обычно недостаточно. Рекомендованная модель приоритезации включает следующие факторы:

  • Техническая критичность (CVSS base score).
  • Наличие публичных эксплойтов и PoC.
  • Наличие автоматизированных эксплойтов или вирусов (wormable).
  • Экспозиция: доступность сервиса из интернета или только локально.
  • Критичность актива для бизнеса: доступ к финансовым системам, персональным данным и т.д.
  • Наличие компенсирующих контролей (WAF, виртуальные изоляции).
  • Правила соответствия (PCI, GDPR и т.д.) — регуляторные требования повышают приоритет.
  • Сложность и риск исправления: иногда исправления могут вызвать сбои — в этом случае готовят план отката и тестирование.

Пример приоритезации: уязвимость с CVSS 9.8 на интернет-экспонированном сервисе с доступным PoC получает высший приоритет; локальная слабоэксплуатируемая уязвимость — ниже.

Заключение

Анализ уязвимостей корпоративной сети — это непрерывный цикл: диагностика сети, сканирование портов и сервисов, использование средств анализа защищенности, корректная интерпретация результатов, приоритезация и устранение уязвимостей, с последующей проверкой. Практика показывает, что сочетание non-credentialed и credentialed сканов, корректные параметры (тайминги, диапазоны), аккуратное использование «стелс»-методов и интеграция с процессами управления изменениями делают программу уязвимости жизнеспособной и управляемой.

Важные практические советы:

  • Всегда согласовывайте сканирование с владельцами и ИТ-поддержкой.
  • В локальной сети используйте ARP-сканер и специализированный сканер портов в локальной сети, чтобы получить наиболее точную инвентаризацию.
  • Если задают вопрос каким образом можно сделать проверку сетевых параметров — используйте набор утилит: ping, traceroute, mtr, tcpdump/wireshark, ss/netstat, dig/nslookup, и специализированные сканеры.
  • При анализе UDP-сканов учитывайте ответы типа destination port unreachable и тексты вида icmp destination unreachable port unreachable — они дают важную информацию о состоянии портов.
  • Инвестируйте в средства анализа защищенности и автоматизацию трекинга исправлений — это существенно снижает время на реакцию и повышает качество сопровождения.
31 июля 2025г.
Подходы к контролю доступа: RBAC vs. ABAC
29 июля 2025г.
Что такое Zero Trust? Модель безопасности без компромиссов
25 июля 2025г.
Что такое APT-атака и как от неё защититься
22 июля 2025г.
Репликация баз данных: зачем она нужна и как работает
19 июля 2025г.
Что такое PAM и зачем он нужен
29 июня 2025г.
9 способов защитить корпоративную почту
30 июня 2025г.
Что такое SIEM системы
27 июня 2025г.
Как защитить смартфон от слежки, вирусов и прослушки
25 июня 2025г.
Работник украл клиентскую базу, когда его можно наказать?
23 июня 2025г.
Работа с персональными данными на сайте
21 июня 2025г.
Способы восстановить данные после атаки шифровальщиков: Топ 6 программ 2025-2026 года
20 июня 2025г.
Лучшие российские антивирусы: какие решения выбрать бизнесу в 2025
18 июня 2025г.
Методы противодействия корпоративному мошенничеству
16 июня 2025г.
Как защитить ПК от вирусов и вредоносного ПО
17 июля 2025г.
Обеспечение сетевой безопасности
11 июля 2025г.
9 лучших инструментов мониторинга сетевой безопасности для выявления потенциальных угроз
12 июля 2025г.
Информационная безопасность для малого бизнеса: 4 ключевых риска и как их избежать
10 июля 2025г.
Как организации защитить данные от утечек и угроз
09 июля 2025г.
Методика оценки рисков информационной безопасности
07 июля 2025г.
Как выбрать антивирус для малого бизнеса
08 июля 2025г.
Как обеспечить безопасность в облаках: обзор рынка
06 июля 2025г.
Как организовать удаленный доступ и не пострадать от хакеров
05 июля 2025г.
Как выстроить компьютерную безопасность в офисе?
04 июля 2025г.
Как не потерять своих клиентов: защищаем базу данных от киберугроз и мошенников
3 июля 2025г.
Хранение Базы 1С В Облаке
30 июня 2025г.
Порядок действий в случае утечки данных клиентов. Инструкция для бизнеса
21 июля 2025г.
Как повысить осведомленность сотрудников о киберугрозах?
19 июля 2025г.
Методики построения модели угроз
17 июля 2025г.
Методы мониторинга активности сотрудников без нарушения их прав
15 июля 2025г.
Безопасность мобильных устройств: как избежать угрозы
14 июля 2025г.
Защита от утечек информации при работе с удаленными сотрудниками
13 июля 2025г.
Методы разграничения доступа
12 июля 2025г.
Как выбрать DLP-систему
11 июля 2025г.
Протоколы шифрования: как они защищают данные
10 июля 2025г.
Безопасность данных в облаке: практики по защите конфиденциальной информации
09 июля 2025г.
Программно-аппаратная защита информации
08 июля 2025г.
Методы контроля рабочего времени
07 июля 2025г.
Анализ угроз информационной безопасности
05 июля 2025г.
Кибербезопасность: какие бывают уязвимости и как от них защититься
03 июля 2025г.
Цели и задачи информационной безопасности
02 июля 2025г.
Технические каналы утечки информации
01 июля 2025г.
Шифрование информации: какие методы существуют и как помогают защитить данные
10 июня 2025г.
Основы информационной безопасности
07 июня 2025г.
Зачем нужны межсетевые экраны и как выбрать подходящий?
04 июня 2025г.
Принципы сегментации сети и разграничения доступа
02 июня 2025г.
Что такое критическая информационная инфраструктура?
18 апреля 2025г.
Требования ФСТЭК по защите информации
16 апреля 2025г.
Реестр операторов персональных данных — что это
12 апреля 2025г.
Какие персональные данные являются общедоступными
14 апреля 2025г.
Что такое конфиденциальность информации
11 апреля 2025г.
Что такое облако и облачные сервисы
07 апреля 2025г.
Хранение персональных данных - как, где, требования
08 апреля 2025г.
Утечка информации в системе - что это, виды, причины
04 апреля 2025г.
Может ли обработка персональных данных осуществляться без согласия субъекта?
02 апреля 2025г.
Является ли фио персональными данными?
22 марта 2025г.
СКЗИ: что это, и для чего используются криптографические средства защиты информации
20 марта 2025г.
Несанкционированный доступ к информации - что это, способы защиты
19 марта 2025г.
Передача персональных данных третьим лицам - что нужно знать?
19 марта 2025г.
Что грозит работнику за разглашение коммерческой тайны
18 марта 2025г.
Firewall - что это, функции, виды
18 марта 2025г.
Угрозы информационной безопасности - описание, виды
17 марта 2025г.
Сетевые протоколы: базовые понятия и описание самых востребованных правил
13 марта 2025г.
Какие сведения относятся к конфиденциальной информации
12 марта 2025г.
Дата центр (ЦОД) что это такое
11 марта 2025г.
DLP системы (Data Loss Prevention, ДЛП) - что это такое, принцип работы
10 марта 2025г.
Способы защиты информации
04 марта 2025г.
Управление информационной безопасностью
02 марта 2025г.
Обеспечение информационной безопасности бизнеса
27 февраля 2025г.
Меры по обеспечению защиты персональных данных: как организовать защиту ПДн
25 февраля 2025г.
Классы защиты персональных данных
10 января 2025г.
Перечень документов по защите персональных данных в 2025 году
10 января 2025г.
Бэкап: что такое резервное копирование данных, почему это важно
05 апреля 2024г.
Надежная двухфакторная аутентификация, и как она позволяет экономить | Статьи | «Гладиаторы ИБ»
20 апреля 2024г.
Защита от утечки конфиденциальных данных компании | Статьи | «Гладиаторы ИБ»
25 апреля 2024г.
Как безопасно работать с подрядчиками
27 апреля 2024г.
Зачем вообще защищать персональные данные (ПДн)
04 мая 2024г.
Хватит внедрять “техничку” для безопасности - настрой бизнес-процессы
09 мая 2024г.
Вредные советы: как НЕ надо строить безопасность в компании
11 мая 2024г.
Как защитить данные от утечки и кражи сотрудниками? | Статьи | «Гладиаторы ИБ»
18 мая 2024г.
Инструкция по безопасной настройке CRM от компании «Гладиаторы ИБ»
25 мая 2024г.
Вирус шифровальщик - как вылечить, защититься и расшифровать данные? | Статьи | «Гладиаторы ИБ»
01 июня 2024г.
Почему кибер атаки на бизнес проходят незамеченными или как можно оперативно выявить нарушителя безопасности
08 июня 2024г.
Как компании выбрать надежное решение по защите данных из множества, доступных на рынке?
13 июня 2024г.
Почему намного дешевле защитить компанию сейчас, чем ждать, что “со мной взлом никогда не случится”
20 июня 2024г.
Безопасность периметра сети - качественный МСЭ или как клиент понял, что у него сеть "дырявая"
22 июня 2024г.
Опасное заблуждение: "Системы информационной безопасности неэффективны и бесполезны! Это пустая трата денег!"
29 июня 2024г.
Как защитить сервер компании от угроз со стороны хакеров?
06 июля 2024г.
Пользователь и его компьютер - одна из главных угроз. Чеклист по защите компьютера пользователя
13 июля 2024г.
Чеклист по защите электронной почты для компании
20 июля 2024г.
Чеклист по защите веб сервера компании. Как не дать взломать свой магазин
27 июля 2024г.
Почему нельзя экономить на резервных копиях или как все не потерять из-за шифровальщика
02 августа 2024г.
Защита от фишинга для компании и сотрудников | «Гладиаторы ИБ»
10 августа 2024г.
Атака на цепочку поставок: насколько реально защитить свой бизнес от партнеров и подрядчиков
17 августа 2024г.
Что такое DDoS атака и почему бизнес страдает когда клиентские сервисы недоступны
24 августа 2024г.
Остановить BruteForce малой кровью - как защититься от атак перебора паролей и что это такое
31 августа 2024г.
"Обмани меня" - какие бывают спуфинг атаки и как защищаться от этих атак
07 сентября 2024г.
подмена сертификата и мошеннический сайт - откуда берутся атаки “Man in the middle”
14 сентября 2024г.
“Проткни меня, если сможешь” - как атакуют вебсайты и базы данных SQL инъекциями
21 сентября 2024г.
Страшный XSS (межсайтовый скриптинг) - что нужно знать всем пользователям об этой атаке
28 сентября 2024г.
Чеклист для защиты CRM
05 октября 2024г.
Защита данных при работе с облачными документами
12 октября 2024г.
Защита облачных сервисов
13 октября 2024г.
Чеклист по выбору и настройке SIEM системы
19 октября 2024г.
Чеклист по защите сети компании
20 октября 2024г.
Искусственный интеллект атакует - как и от чего защищать информационные системы в условиях применения ИИ
26 октября 2024г.
Что значит информационная безопасность для бизнеса и почему нельзя отказаться от защиты
02 ноября 2024г.
Как хакеры атакуют компании - на что обратить внимание и остаться устойчивым
09 ноября 2024г.
Как закон помогает сделать компанию защищенной от хакеров и атак
16 ноября 2024г.
Как выбрать надежные средства защиты информации - полезные советы и рекомендации
30 ноября 2024г.
Цена безопасности: насколько дорого обходятся услуги защиты информации
07 декабря 2024г.
Почему бизнес сомневается в эффективности систем защиты информации
14 декабря 2024г.
Внедряй или проиграешь - зачем безопасность успешному бизнесу
21 декабря 2024г.
Безопасность как один из трех централизованных бизнес-процессов бизнеса
29 декабря 2024г.
Какие проблемы бизнеса на самом деле решает информационная безопасность
10 января 2025г.
Как бизнесу поставить цели в ИБ на 2025 год?
Показать еще

Есть вопросы или запрос на проект по безопасности?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности