Port Scan

Port Scan Angriffe versuchen herauszufinden, welche Ports auf einem System offen sind. Dafür schickt der Angreifer Datenpakete an eine gezielte IP-Adresse und wechselt dabei stets den Port. Damit lässt sich herausfinden, welches Betriebssystem und welche Dienste verwendet werden.

Übrigens sind Port Attacken so häufig, dass üblicherweise jedes System mindestens einmal täglich auf diese Weise angegriffen wird. Eine Firewall wehrt diese Angriffe zumeist ab.

Ein Port („Tür“) ist eine Schnittstelle, die die Kommunikation zwischen Computern als auch mit dem Internet erlaubt. Ein Computer verfügt über 65.536 Ports. Diese sind dafür zuständig, dass die Datenpakete der jeweils richtigen Anwendung zugeordnet werden. Die Zuteilung erfolgt über eigene Kommunikationsprotokolle wie TCP, UDP oder SCTP. So wie die IP-Adresse dient der Port daher als zuordenbare Adresse, damit die Datenpakete identifiziert, und damit auch korrekt gesendet und empfangen werden können.

Die ersten 1.023 Ports sind durch die Internet Assigned Numbers Authority (IANA) für bestimmte Dienste und Zwecke festgelegt. Die meisten für die diversen Internetanwendungen: So werden etwa Port 80 und 443 für das Surfen (HTTP und HTTPS) verwendet, während Port 25, 463 und 587 immer für E-Mails (SMTP, SMTPS) genutzt.

Die Ports zwischen 1.024 und 49.151 sind meist für bestimmte Protokolle vorgesehen, können aber zum Teil anders vergeben werden.

Die restlichen Ports zwischen 49.152 und 65.535 sind dynamisch. Das heißt, dass diese Ports keiner Anwendung direkt zugeschrieben sind. Sie dienen daher auch als vorübergehende Ports für eine Server-Client-Verbindung.

Ports sind Schnittstellen, durch die Angriffe ausgeführt werden können. Vor allem offene Ports bieten ein generelles Sicherheitsrisiko, das durch die Firewall so gut wie möglich gering gehalten wird. Um einen Port-Scan-Angriff zu verhindern, sind daher Port Scans zum Schutz wichtig.

Ports Scans werden sowohl zum Schutz als auch zum Angriff auf ein System genutzt. Hier wird herausgefunden, welche Ports offen stehen, welche gefiltert und welche geschlossen sind. Offene Ports bergen ein großes Sicherheitsrisiko, da über diese Schnittstellen Viren oder Cyber-Angriffe erfolgen können.

Es gibt fünf verschiedene Formen von Port Scanning, die meisten nutzen entweder das TCP oder das UDP-Protokoll.

• Ping Scan: Die einfachste Methode besteht aus Datenpaketen, die an einen bestimmten Host gesendet werden. Sowie ein Paket durch einen offenen Port durchgeht, schickt das Zielsystem eine Antwort. So erfährt man, dass der Port offen ist. Dies wird auch Ping Scan genannt. Dabei werden Massen an ICMP Echo Requests versandt, bis endlich ein Ziel antwortet.

• SYN Scan: Eine besonders häufige Form von Port Scan Attacken sind SYN-Scans, die nach halb-offenen Ports scannen. Sie werden auch als TCP Half Open bezeichnet. Hier werden SYN-Nachrichten versandt und auf SYN-ACK-Antworten gewartet. Doch statt einen Handshake herzustellen, reagiert der Scanner nicht mehr.

• TCP Connect : Außerdem gibt es auch TCP Connect Attacken, die genauso wie SYN Scans funktionieren, aber eine Verbindung herstellen. Diese sind aber seltener, da sie eher einen Alarm im System auslösen.

• UDP: UDP Port Scans schicken ein leeres Datenpaket, oder auch Pakete unterschiedlichen Inhalts pro Port. Hier wird die Antwort genutzt, um zu erfahren dass ein Port geschlossen ist. Bekommt man über UDP keine Antwort, ist der Port daher offen oder gefiltert. Hier wird UDP statt TCP genutzt.

• Stealth Scanning: Diese Methode ist unauffälliger als andere Scan Methoden und ähnelt UDP Scans, doch hier wird das TCP Protokoll verwendet: Es werden FIN-Pakete versandt, die nur eine Antwort auf geschlossene Ports bekommen. Während SYN-Pakete von Firewalls genauer durchleuchtet werden, bleiben FIN-Pakete unbemerkt.