Startseite » wie man » HTG erklärt, was Port-Scanning ist

    HTG erklärt, was Port-Scanning ist

    Ein Port-Scan ist ein bisschen wie das Wackeln einer Reihe von Türknöpfen, um zu sehen, welche Türen gesperrt sind. Der Scanner erfährt, welche Ports an einem Router oder einer Firewall geöffnet sind, und kann anhand dieser Informationen mögliche Schwachstellen eines Computersystems ermitteln.

    Was ist ein Hafen??

    Wenn ein Gerät über ein Netzwerk eine Verbindung zu einem anderen Gerät herstellt, gibt es eine TCP- oder UDP-Portnummer zwischen 0 und 65535 an. Einige Ports werden jedoch häufiger verwendet. Die TCP-Ports 0 bis 1023 sind "bekannte Ports", die Systemdienste bereitstellen. Beispielsweise handelt es sich bei Port 20 um FTP-Dateiübertragungen, bei Port 22 um Secure Shell- (SSH-) Terminalverbindungen, Port 80 um HTTP-Standardverkehr und Port 443 um HTTPS. Wenn Sie eine Verbindung zu einer sicheren Website herstellen, spricht Ihr Webbrowser also mit dem Webserver, der an Port 443 dieses Servers empfangsbereit ist.

    Dienste müssen nicht immer auf diesen spezifischen Ports ausgeführt werden. Sie können beispielsweise einen HTTPS-Webserver an Port 32342 oder einen Secure Shell-Server an Port 65001 ausführen, wenn Sie möchten. Dies sind nur die Standardeinstellungen.

    Was ist ein Port-Scan??

    Bei einem Port-Scan werden alle Ports an einer IP-Adresse überprüft, um festzustellen, ob sie geöffnet oder geschlossen sind. Die Port-Scanning-Software prüft Port 0, Port 1, Port 2 und den ganzen Weg bis zu Port 65535. Dazu sendet sie einfach eine Anforderung an jeden Port und fordert eine Antwort an. In der einfachsten Form fragt die Port-Scansoftware nach jedem Port. Das Remote-System antwortet und zeigt an, ob ein Port offen oder geschlossen ist. Die Person, die den Port-Scan ausführt, weiß dann, welche Ports geöffnet sind.

    Alle Netzwerk-Firewalls können den Verkehr blockieren oder auf andere Weise verwerfen. Daher ist ein Port-Scan auch eine Methode, um herauszufinden, welche Ports auf diesem Remote-System erreichbar sind oder für das Netzwerk verfügbar sind.

    Das nmap-Tool ist ein gebräuchliches Netzwerkdienstprogramm für das Scannen von Ports, es gibt jedoch viele andere Tools zum Scannen von Ports.

    Warum führen die Benutzer Portscans durch?

    Port-Scans sind hilfreich, um die Schwachstellen eines Systems zu ermitteln. Ein Port-Scan würde einem Angreifer mitteilen, welche Ports auf dem System geöffnet sind, und dies würde ihm helfen, einen Angriffsplan zu formulieren. Wenn zum Beispiel ein Secure Shell (SSH) -Server als überwachender Port 22 erkannt wurde, könnte der Angreifer versuchen, eine Verbindung herzustellen und nach schwachen Kennwörtern zu suchen. Wenn ein anderer Servertyp einen anderen Port überwacht, könnte der Angreifer darauf zugreifen und feststellen, ob ein Fehler vorhanden ist, der ausgenutzt werden kann. Möglicherweise läuft eine alte Version der Software und es gibt eine bekannte Sicherheitslücke.

    Diese Arten von Prüfungen können auch dazu beitragen, Dienste zu erkennen, die auf nicht standardmäßigen Ports ausgeführt werden. Wenn Sie also einen SSH-Server an Port 65001 anstelle von Port 22 betreiben, wird dies beim Port-Scan angezeigt, und der Angreifer kann versuchen, eine Verbindung zu Ihrem SSH-Server an diesem Port herzustellen. Sie können einen Server nicht einfach an einem nicht standardmäßigen Port ausblenden, um Ihr System zu sichern, obwohl der Server dadurch schwerer zu finden ist.

    Port-Scans werden nicht nur von Angreifern verwendet. Port-Scans eignen sich für defensive Eindringtests. Eine Organisation kann ihre eigenen Systeme durchsuchen, um zu ermitteln, welche Dienste für das Netzwerk verfügbar sind, und um sicherzustellen, dass sie sicher konfiguriert sind.

    Wie gefährlich sind Portscans?

    Ein Port-Scan kann einem Angreifer dabei helfen, einen Angriffspunkt zu finden und in ein Computersystem einzudringen. Es ist jedoch nur der erste Schritt. Nur weil Sie einen offenen Port gefunden haben, heißt das nicht, dass Sie ihn angreifen können. Sobald Sie jedoch einen offenen Port gefunden haben, auf dem ein Abhörservice ausgeführt wird, können Sie ihn auf Schwachstellen überprüfen. Das ist die wirkliche Gefahr.

    In Ihrem Heimnetzwerk haben Sie fast sicher einen Router zwischen Ihnen und dem Internet. Jemand im Internet kann nur einen Port-Scan Ihres Routers durchführen und außer den potenziellen Diensten auf dem Router selbst nichts finden. Dieser Router fungiert als Firewall - es sei denn, Sie haben einzelne Ports von Ihrem Router an ein Gerät weitergeleitet. In diesem Fall sind diese Ports im Internet verfügbar.

    Für Computerserver und Unternehmensnetzwerke können Firewalls so konfiguriert werden, dass Port-Scans erkannt und der Verkehr von der gescannten Adresse blockiert wird. Wenn alle dem Internet ausgesetzten Dienste sicher konfiguriert sind und keine Sicherheitslücken bestehen, sollten Port-Scans nicht zu unangenehm sein.

    Arten von Port-Scans

    Bei einem Port-TCP-Scan mit vollständiger Verbindung sendet der Scanner eine SYN-Nachricht (Verbindungsanfrage) an einen Port. Wenn der Port offen ist, antwortet das Remote-System mit einer SYN-ACK-Nachricht (Bestätigung). Der Scanner antwortet mit seiner eigenen Bestätigungsnachricht. Dies ist ein vollständiger TCP-Handshake, und der Scanner erkennt, dass das System Verbindungen an einem Port annimmt, wenn dieser Vorgang stattfindet.

    Wenn der Port geschlossen ist, antwortet das Remote-System mit einer RST-Nachricht (Reset). Wenn das Remote-System im Netzwerk nicht vorhanden ist, erfolgt keine Antwort.

    Einige Scanner führen einen "TCP-halboffenen" Scan durch. Anstatt einen vollständigen SYN-, SYN-ACK- und dann einen ACK-Zyklus zu durchlaufen, senden sie einfach ein SYN und warten als Antwort auf eine SYN-ACK- oder RST-Nachricht. Es ist nicht erforderlich, ein endgültiges ACK zu senden, um die Verbindung herzustellen, da der SYN-ACK dem Scanner alles mitteilen würde, was er wissen muss. Es ist schneller, da weniger Pakete gesendet werden müssen.

    Andere Arten von Scans beinhalten das Senden fremder, fehlerhafter Pakettypen und das Warten darauf, ob das entfernte System ein RST-Paket zurückgibt, das die Verbindung beendet. Wenn dies der Fall ist, weiß der Scanner, dass sich an diesem Standort ein Remote-System befindet und dass ein bestimmter Port für ihn geschlossen ist. Wenn kein Paket empfangen wird, weiß der Scanner, dass der Port geöffnet sein muss.

    Ein einfacher Port-Scan, bei dem die Software nacheinander Informationen zu jedem Port anfordert, ist leicht zu erkennen. Netzwerk-Firewalls können leicht konfiguriert werden, um dieses Verhalten zu erkennen und zu stoppen.

    Deshalb funktionieren einige Port-Scan-Techniken anders. Beispielsweise kann ein Port-Scan einen kleineren Portbereich scannen oder den gesamten Portbereich über einen längeren Zeitraum scannen, so dass die Erkennung schwieriger ist.


    Portscans sind ein grundlegendes Sicherheitsinstrument, wenn es darum geht, Computersysteme zu durchdringen (und abzusichern). Sie sind jedoch nur ein Werkzeug, mit dem Angreifer Ports finden können, die möglicherweise angreifbar sind. Sie gewähren einem Angreifer keinen Zugriff auf ein System, und ein sicher konfiguriertes System kann einen vollständigen Port-Scan ohne Schaden überstehen.

    Bildnachweis: xfilephotos / Shutterstock.com, Casezy-Idee / Shutterstock.com.