Port Scan

Ports Scans werden sowohl zum Schutz als auch zum Angriff auf ein System genutzt. Hier wird herausgefunden, welche Ports offen stehen, welche gefiltert und welche geschlossen sind. Offene Ports bergen ein großes Sicherheitsrisiko, da über diese Schnittstellen Viren oder Cyber-Angriffe erfolgen können.

Was ist ein Port?

Ein Port („Tür“) ist eine Schnittstelle, die die Kommunikation zwischen Computern als auch mit dem Internet erlaubt. Ein Computer verfügt über 65.536 Ports. Diese sind dafür zuständig, dass die Datenpakete der jeweils richtigen Anwendung zugeordnet werden. Die Zuteilung erfolgt über eigene Kommunikationsprotokolle wie TCP, UDP oder SCTP. So wie die IP-Adresse dient der Port daher als zuordenbare Adresse, damit die Datenpakete identifiziert, und damit auch korrekt gesendet und empfangen werden können.

Port Scan Attacke

Port Scan Angriffe versuchen herauszufinden, welche Ports auf einem System offen sind. Dafür schickt der Angreifer Datenpakete an eine gezielte IP-Adresse und wechselt dabei stets den Port. Damit lässt sich herausfinden, welches Betriebssystem und welche Dienste verwendet werden.

Übrigens sind Port Attacken so häufig, dass üblicherweise jedes System mindestens einmal täglich auf diese Weise angegriffen wird. Eine Firewall wehrt diese Angriffe zumeist ab.

Port Scans gegen Port Angriffe

Port Scans nutzt man nicht nur zum Angriff, sondern auch zum Schutz. So kannst du mit einem Port Scan ein sogenanntes Mapping erstellen und damit dein Netzwerk erkunden. Dafür gibt es eine Vielzahl an Tools. Die so gewonnenen Daten können für Gegenmaßnahmen genutzt werden.

Vertikale Port Scans versuchen mehrere Ports einer IP-Adresse nacheinander zu prüfen, ein horizontaler Scan einen Port an verschiedenen IP-Adressen.

Arten von Port Scans

Es gibt fünf verschiedene Formen von Port Scanning, die meisten nutzen entweder das TCP oder das UDP-Protokoll: Ping Scan, SYN Scan, TCP Connect, UDP Scan und Stealth Scanning.

Sowohl TCP als auch UDP sind Transaktionsprotokolle. Transmission Control Protocol (TCP) sendet alle Pakete nacheinander mit Fehlerprüfung, Verifizierung und einem Three-Way-Handshake zur Bestätigung der erfolgreichen Übertragung des Pakets. User Datagram Protocol (UDP) nutzt keine Fehlerprüfung und ist dafür schneller. Soll eine Übertragung fehlerfrei sein, ist TCP sinnvoll, wenn eine gewisse Fehlertoleranz möglich ist, wie zum Beispiel bei Videoübertragung, nutzt man eher UDP.

Ping Scan

Die einfachste Methode besteht aus Datenpaketen, die an einen bestimmten Host gesendet werden. Sowie ein Paket durch einen offenen Port durchgeht, schickt das Zielsystem eine Antwort. So erfährt man, dass der Port offen ist. Dies wird auch Ping Scan genannt. Dabei werden Massen an ICMP Echo Requests versandt, bis endlich ein Ziel antwortet.

Üblicherweise ist die Ping Funktion daher durch einen Administrator deaktiviert. Diese dient ansonsten als gutes Tool für die Fehlersuche.

SYN Scan

Eine besonders häufige Form von Port Scan Attacken sind SYN-Scans, die nach halb-offenen Ports scannen. Sie werden auch als TCP Half Open bezeichnet. Hier werden SYN-Nachrichten versandt und auf SYN-ACK-Antworten gewartet. Doch statt einen Handshake herzustellen, reagiert der Scanner nicht mehr.

TCP Connect

Außerdem gibt es auch TCP Connect Attacken, die genauso wie SYN Scans funktionieren, aber eine Verbindung herstellen. Diese sind aber seltener, da sie eher einen Alarm im System auslösen. Da hier mehr Pakete versendet werden müssen, sagt man auch, dass sie „viel Lärm verursachen“ oder „chatty“ („geschwätzig“) sind.

UDP Scan

UDP Port Scans schicken ein leeres Datenpaket, oder auch Pakete unterschiedlichen Inhalts pro Port. Hier wird die Antwort genutzt, um zu erfahren dass ein Port geschlossen ist. Bekommt man über UDP keine Antwort, ist der Port daher offen oder gefiltert. Hier wird UDP statt TCP genutzt.

Stealth Scanning

Diese Methode ist unauffälliger als andere Scan Methoden und ähnelt UDP Scans, doch hier wird das TCP Protokoll verwendet: Es werden FIN-Pakete versandt, die nur eine Antwort auf geschlossene Ports bekommen. Während SYN-Pakete von Firewalls genauer durchleuchtet werden, bleiben FIN-Pakete unbemerkt.

Eine besondere Form ist der X-MAS-Scan, der ein FIN-URG-PUSH-Paket sendet. Der Scan hat allerdings keinen Nutzen, sieht aber aus wie ein Weihnachtsbaum.🎄

( Artikel veröffentlicht: 23.10.2020 )

Jetzt Handytarife finden!



Über die Autorin
Geschrieben von Mag. Victoria Breitsprecher, MA
Mag. Victoria Breitsprecher, MA
Victoria ist technische Redakteurin bei tarife.at. Sie bringt hochkomplizierte, technische Begriffe in eine verständliche Sprache. Unterstützung bekommt die Technik-Liebhaberin von ihrem Büro-Hund, Herr Baron 🐶.

Häufige Fragen zum Thema Port Scan

Port Scan Angriffe versuchen herauszufinden, welche Ports auf einem System offen sind. Dafür schickt der Angreifer Datenpakete an eine gezielte IP-Adresse und wechselt dabei stets den Port. Damit lässt sich herausfinden, welches Betriebssystem und welche Dienste verwendet werden.

Übrigens sind Port Attacken so häufig, dass üblicherweise jedes System mindestens einmal täglich auf diese Weise angegriffen wird. Eine Firewall wehrt diese Angriffe zumeist ab.


Ein Port („Tür“) ist eine Schnittstelle, die die Kommunikation zwischen Computern als auch mit dem Internet erlaubt. Ein Computer verfügt über 65.536 Ports. Diese sind dafür zuständig, dass die Datenpakete der jeweils richtigen Anwendung zugeordnet werden. Die Zuteilung erfolgt über eigene Kommunikationsprotokolle wie TCP, UDP oder SCTP. So wie die IP-Adresse dient der Port daher als zuordenbare Adresse, damit die Datenpakete identifiziert, und damit auch korrekt gesendet und empfangen werden können.


Die ersten 1.023 Ports sind durch die Internet Assigned Numbers Authority (IANA) für bestimmte Dienste und Zwecke festgelegt. Die meisten für die diversen Internetanwendungen: So werden etwa Port 80 und 443 für das Surfen (HTTP und HTTPS) verwendet, während Port 25, 463 und 587 immer für E-Mails (SMTP, SMTPS) genutzt.

Die Ports zwischen 1.024 und 49.151 sind meist für bestimmte Protokolle vorgesehen, können aber zum Teil anders vergeben werden.

Die restlichen Ports zwischen 49.152 und 65.535 sind dynamisch. Das heißt, dass diese Ports keiner Anwendung direkt zugeschrieben sind. Sie dienen daher auch als vorübergehende Ports für eine Server-Client-Verbindung.


Ports sind Schnittstellen, durch die Angriffe ausgeführt werden können. Vor allem offene Ports bieten ein generelles Sicherheitsrisiko, das durch die Firewall so gut wie möglich gering gehalten wird. Um einen Port-Scan-Angriff zu verhindern, sind daher Port Scans zum Schutz wichtig.


Ports Scans werden sowohl zum Schutz als auch zum Angriff auf ein System genutzt. Hier wird herausgefunden, welche Ports offen stehen, welche gefiltert und welche geschlossen sind. Offene Ports bergen ein großes Sicherheitsrisiko, da über diese Schnittstellen Viren oder Cyber-Angriffe erfolgen können.


Es gibt fünf verschiedene Formen von Port Scanning, die meisten nutzen entweder das TCP oder das UDP-Protokoll.

  • Ping Scan: Die einfachste Methode besteht aus Datenpaketen, die an einen bestimmten Host gesendet werden. Sowie ein Paket durch einen offenen Port durchgeht, schickt das Zielsystem eine Antwort. So erfährt man, dass der Port offen ist. Dies wird auch Ping Scan genannt. Dabei werden Massen an ICMP Echo Requests versandt, bis endlich ein Ziel antwortet.

  • SYN Scan: Eine besonders häufige Form von Port Scan Attacken sind SYN-Scans, die nach halb-offenen Ports scannen. Sie werden auch als TCP Half Open bezeichnet. Hier werden SYN-Nachrichten versandt und auf SYN-ACK-Antworten gewartet. Doch statt einen Handshake herzustellen, reagiert der Scanner nicht mehr.

  • TCP Connect : Außerdem gibt es auch TCP Connect Attacken, die genauso wie SYN Scans funktionieren, aber eine Verbindung herstellen. Diese sind aber seltener, da sie eher einen Alarm im System auslösen.

  • UDP: UDP Port Scans schicken ein leeres Datenpaket, oder auch Pakete unterschiedlichen Inhalts pro Port. Hier wird die Antwort genutzt, um zu erfahren dass ein Port geschlossen ist. Bekommt man über UDP keine Antwort, ist der Port daher offen oder gefiltert. Hier wird UDP statt TCP genutzt.

  • Stealth Scanning: Diese Methode ist unauffälliger als andere Scan Methoden und ähnelt UDP Scans, doch hier wird das TCP Protokoll verwendet: Es werden FIN-Pakete versandt, die nur eine Antwort auf geschlossene Ports bekommen. Während SYN-Pakete von Firewalls genauer durchleuchtet werden, bleiben FIN-Pakete unbemerkt.