Ports Scans werden sowohl zum Schutz als auch zum Angriff auf ein System genutzt. Hier wird herausgefunden, welche Ports offen stehen, welche gefiltert und welche geschlossen sind. Offene Ports bergen ein großes Sicherheitsrisiko, da über diese Schnittstellen Viren oder Cyber-Angriffe erfolgen können.
Was ist ein Port?
Ein Port („Tür“) ist eine Schnittstelle, die die Kommunikation zwischen Computern als auch mit dem Internet erlaubt. Ein Computer verfügt über 65.536 Ports. Diese sind dafür zuständig, dass die Datenpakete der jeweils richtigen Anwendung zugeordnet werden. Die Zuteilung erfolgt über eigene Kommunikationsprotokolle wie TCP, UDP oder SCTP. So wie die IP-Adresse dient der Port daher als zuordenbare Adresse, damit die Datenpakete identifiziert, und damit auch korrekt gesendet und empfangen werden können.
Port Scan Attacke
Port Scan Angriffe versuchen herauszufinden, welche Ports auf einem System offen sind. Dafür schickt der Angreifer Datenpakete an eine gezielte IP-Adresse und wechselt dabei stets den Port. Damit lässt sich herausfinden, welches Betriebssystem und welche Dienste verwendet werden.
Port Scans gegen Port Angriffe
Port Scans nutzt man nicht nur zum Angriff, sondern auch zum Schutz. So kannst du mit einem Port Scan ein sogenanntes Mapping erstellen und damit dein Netzwerk erkunden. Dafür gibt es eine Vielzahl an Tools. Die so gewonnenen Daten können für Gegenmaßnahmen genutzt werden.
Arten von Port Scans
Es gibt fünf verschiedene Formen von Port Scanning, die meisten nutzen entweder das TCP oder das UDP-Protokoll: Ping Scan, SYN Scan, TCP Connect, UDP Scan und Stealth Scanning.
Ping Scan
Die einfachste Methode besteht aus Datenpaketen, die an einen bestimmten Host gesendet werden. Sowie ein Paket durch einen offenen Port durchgeht, schickt das Zielsystem eine Antwort. So erfährt man, dass der Port offen ist. Dies wird auch Ping Scan genannt. Dabei werden Massen an ICMP Echo Requests versandt, bis endlich ein Ziel antwortet.
SYN Scan
Eine besonders häufige Form von Port Scan Attacken sind SYN-Scans, die nach halb-offenen Ports scannen. Sie werden auch als TCP Half Open bezeichnet. Hier werden SYN-Nachrichten versandt und auf SYN-ACK-Antworten gewartet. Doch statt einen Handshake herzustellen, reagiert der Scanner nicht mehr.
TCP Connect
Außerdem gibt es auch TCP Connect Attacken, die genauso wie SYN Scans funktionieren, aber eine Verbindung herstellen. Diese sind aber seltener, da sie eher einen Alarm im System auslösen. Da hier mehr Pakete versendet werden müssen, sagt man auch, dass sie „viel Lärm verursachen“ oder „chatty“ („geschwätzig“) sind.
UDP Scan
UDP Port Scans schicken ein leeres Datenpaket, oder auch Pakete unterschiedlichen Inhalts pro Port. Hier wird die Antwort genutzt, um zu erfahren dass ein Port geschlossen ist. Bekommt man über UDP keine Antwort, ist der Port daher offen oder gefiltert. Hier wird UDP statt TCP genutzt.
Stealth Scanning
Diese Methode ist unauffälliger als andere Scan Methoden und ähnelt UDP Scans, doch hier wird das TCP Protokoll verwendet: Es werden FIN-Pakete versandt, die nur eine Antwort auf geschlossene Ports bekommen. Während SYN-Pakete von Firewalls genauer durchleuchtet werden, bleiben FIN-Pakete unbemerkt.
( Artikel veröffentlicht: 23.10.2020 )