Portscans

Warum Portscans

Es gibt zwei Gründe, warum Portscans durchführt werden:

  1. Man will seinen eigenen Rechner/ sein eigenes Netz auf Sicherheit prüfen, um diese zu schließen.
  2. Man will einen fremden Rechner/ fremdes Netz auf Schwachstellen untersuchen, um auf diese Weise (einfacher) eindringen zu können.

Der letzte Fall ist der Grund dafür, warum heute immer mehr Firewalls und IDS-Systeme versuchen Portscans aufzuspüren und blockieren bzw. Alarm schlagen.

Was ist ein Portscan, wie arbeitet ein Portscanner

Ein Portscan untersucht die Rechner eines Netzwerkes auf aktive Dienste wie HTTP, TELNET, FTP etc. Dies ist dadurch möglich, da jedem Dienst eine eigene Adresse (die sog. TCP/ UDP-Portnummer) zugewiesen wird (weitere Infos zu Portnummern finden Sie auf meiner Schulungs-Seite, eine Auflistung aller Portnummern hier).

Die prinzipielle Arbeitsweise eines Portscanners beruht darauf, dass er entweder versucht, eine Verbindung zu einem Dienst aufzubauen (Connect Scan) oder, dass er versucht über die Antwort auf ungültige Pakete (Stealth Scans), Informationen über die aktiven Dienste auf einem Rechner zu erhalten.

Arbeitsweise von Portscannern

TCP Connect Scans

Bei einem Connect Scan versucht der Scanner zu jedem (gewünschten) Port eine Verbindung aufzubauen (vgl. Three-Way-Handshake). Ist ein Dienst aktiv - d.h. der Port ist offen - ist dieser Versuch erfolgreich. Ist der Port geschlossen, wird der Verbindungsaufbau durch ein RST-Paket abgelehnt. Diese Scan-Methode hat den Vorteil, dass sie einem genauen Schema folgt. Der Nachteil dieser Methode ist, dass solche Scans inzwischen von vielen Firewalls und IDS-Systemen erkannt und blockiert werden, was die Scans nutzlos macht bzw. den Tester u.U. sogar eines (unberechtigten) Hackversuchs verdächtig macht.

In dieser Beziehung weniger kritisch sind die sog.

TCP SYN Scans

Bei den SYN Scans handelt es sich um sog. "halboffene" Scans. Hier wird der Verbindungsaufbau nicht zu Ende gebracht, sondern das 3. Paket des Three-Way-Handshakes enthält ein RST-Flag (anstatt des ACK-Flags), was den Verbindungsaufbau abbricht und daher von weniger Rechnern mitgeloggt wird.

Am unauffälligsten sind die sog.

Stealth Scans

Die Stealth Scans beruhen alle darauf, dass an einen Rechner ein ungültiges, d.h. im Protokollablauf nicht vorgesehenes Paket gesendet wird. Nach STD 7/ RFC 793 müsste ein rechner folgendermaßen reagieren. Ist der Port geschlossen (also kein Dienst aktiv), muss als Antwort ein RST-Paket gesendet werden; ist der Port im "open" Modus (Dienst aktiv) sollte das Paket ignoriert bzw. ganz normal über ein ACK-Paket bestätigt werden. Allerdings halten sich nicht alle Implementierungen (z.B. Windows) an diese Vorschrift, sondern senden immer ein RST-Paket zurück, was diese Art Scan weitgehend nutzlos macht. Allerdings ist es einem Hacker auf diese Weise möglich - in Kombination mit anderen Scans - Informationen über das verwendete Betriebssystem herauszufinden.

Nachfolgend eine Auflistung der wichtigsten Stealth-Scans:

FIN Scan Bei einem FIN Scan wird ein FIN-Paket an den zu untersuchenden Port gesendet.
Xmas Scan Bei einem Xmas Scan sind alle "Kerzen" erleuchtet, d.h. (fast) alle Flags gesetzt (FIN, URG, PUSH)
Null Scan Bei einem Null Scan handelt es sich um das Gegenstück zu einem Xmas Scan. Bei einem Null Scan sind keine Flags gesetzt
SYN/ACK Scan Bei einem SYN/ ACK Scan sendet der Scanner ein SYN/ ACK-Paket, ohne jedoch vorher ein SYN-Paket gesendet zu haben (vgl. TCP-Verbindungsaufbau).
   

Scanner

NMAP ist der Porscanner schlechthin - http://www.insecure.org/nmap/.
Als Onlinescanner - ohne Installation - empfiehlt sich die Seite www.port-scan.de, die auf Nessus aufsetzt.

 


Weitere Fragen posten Sie bitte in meinem Internet- und Security-Forum!
In besonderen Fällen stehe ich Ihnen auch gerne per E-Mail zur Verfügung!

Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Security-Seite]

(Diese Seite wurde erstellt am 23.01.2005,
der letzte Update fand statt am 25.07.2006)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg