(Diese Seite wurde erstellt
am 23.01.2005,
der letzte Update fand statt am 25.07.2006)
Es gibt zwei Gründe, warum Portscans durchführt werden:
Der letzte Fall ist der Grund dafür, warum heute immer mehr Firewalls und IDS-Systeme versuchen Portscans aufzuspüren und blockieren bzw. Alarm schlagen.
Ein Portscan untersucht die Rechner eines Netzwerkes auf aktive Dienste wie HTTP, TELNET, FTP etc. Dies ist dadurch möglich, da jedem Dienst eine eigene Adresse (die sog. TCP/ UDP-Portnummer) zugewiesen wird (weitere Infos zu Portnummern finden Sie auf meiner Schulungs-Seite, eine Auflistung aller Portnummern hier).
Die prinzipielle Arbeitsweise eines Portscanners beruht darauf, dass er entweder versucht, eine Verbindung zu einem Dienst aufzubauen (Connect Scan) oder, dass er versucht über die Antwort auf ungültige Pakete (Stealth Scans), Informationen über die aktiven Dienste auf einem Rechner zu erhalten.
Bei einem Connect Scan versucht der Scanner zu jedem (gewünschten) Port eine Verbindung aufzubauen (vgl. Three-Way-Handshake). Ist ein Dienst aktiv - d.h. der Port ist offen - ist dieser Versuch erfolgreich. Ist der Port geschlossen, wird der Verbindungsaufbau durch ein RST-Paket abgelehnt. Diese Scan-Methode hat den Vorteil, dass sie einem genauen Schema folgt. Der Nachteil dieser Methode ist, dass solche Scans inzwischen von vielen Firewalls und IDS-Systemen erkannt und blockiert werden, was die Scans nutzlos macht bzw. den Tester u.U. sogar eines (unberechtigten) Hackversuchs verdächtig macht.
In dieser Beziehung weniger kritisch sind die sog.
Bei den SYN Scans handelt es sich um sog. "halboffene" Scans. Hier wird der Verbindungsaufbau nicht zu Ende gebracht, sondern das 3. Paket des Three-Way-Handshakes enthält ein RST-Flag (anstatt des ACK-Flags), was den Verbindungsaufbau abbricht und daher von weniger Rechnern mitgeloggt wird.
Am unauffälligsten sind die sog.
Die Stealth Scans beruhen alle darauf, dass an einen Rechner ein ungültiges, d.h. im Protokollablauf nicht vorgesehenes Paket gesendet wird. Nach STD 7/ RFC 793 müsste ein rechner folgendermaßen reagieren. Ist der Port geschlossen (also kein Dienst aktiv), muss als Antwort ein RST-Paket gesendet werden; ist der Port im "open" Modus (Dienst aktiv) sollte das Paket ignoriert bzw. ganz normal über ein ACK-Paket bestätigt werden. Allerdings halten sich nicht alle Implementierungen (z.B. Windows) an diese Vorschrift, sondern senden immer ein RST-Paket zurück, was diese Art Scan weitgehend nutzlos macht. Allerdings ist es einem Hacker auf diese Weise möglich - in Kombination mit anderen Scans - Informationen über das verwendete Betriebssystem herauszufinden.
Nachfolgend eine Auflistung der wichtigsten Stealth-Scans:
| FIN Scan | Bei einem FIN Scan wird ein FIN-Paket an den zu untersuchenden Port gesendet. |
| Xmas Scan | Bei einem Xmas Scan sind alle "Kerzen" erleuchtet, d.h. (fast) alle Flags gesetzt (FIN, URG, PUSH) |
| Null Scan | Bei einem Null Scan handelt es sich um das Gegenstück zu einem Xmas Scan. Bei einem Null Scan sind keine Flags gesetzt |
| SYN/ACK Scan | Bei einem SYN/ ACK Scan sendet der Scanner ein SYN/ ACK-Paket, ohne jedoch vorher ein SYN-Paket gesendet zu haben (vgl. TCP-Verbindungsaufbau). |
NMAP ist der Porscanner
schlechthin - http://www.insecure.org/nmap/.
Als
Onlinescanner - ohne Installation - empfiehlt sich die Seite www.port-scan.de,
die auf Nessus aufsetzt.
|
[zurück zur Security-Seite] | (Diese Seite wurde erstellt
am 23.01.2005, |