What is a Port Scan?

Ein Port-Scan ist eine Netzwerk-Erkundungstechnik, mit der ermittelt werden soll, welche Ports auf einem Computer geöffnet sind. Dies kann es dem Scanner ermöglichen, die auf dem System laufende Anwendung zu identifizieren, da bestimmte Programme bestimmte Ports abhören und auf bestimmte Weise auf den Datenverkehr reagieren. HTTP verwendet beispielsweise Port 80, DNS verwendet Port 53 und SSH verwendet Port 22.

Demo anfordern Report herunterladen

What is a Port Scan?

Die Notwendigkeit eines Port-Scans

IP-Adressen sind für die Weiterleitung des Datenverkehrs über ein Netzwerk von entscheidender Bedeutung. Eine IP-Adresse identifiziert eindeutig das Gerät, an das ein Paket weitergeleitet werden soll. Allerdings reicht es nicht aus, zu wissen, dass ein bestimmter Computer ein Paket empfangen soll, um sein Ziel zu erreichen. Auf einem Computer können viele verschiedene Anwendungen gleichzeitig ausgeführt werden, und mehrere können gleichzeitig Datenverkehr über das Netzwerk senden und empfangen.

Die Protokolle TCP und UDP definieren das Konzept der Ports auf einem Computer. Eine Anwendung kann Datenverkehr senden und einen bestimmten Port abhören. Die Kombination aus einer IP-Adresse und einem Port ermöglicht es dem Gerät und dem Endgerät, sicherzustellen, dass der Datenverkehr die vorgesehene Anwendung erreicht.

Wie funktioniert ein Port-Scanner?

Ein Port-Scanner wie nmap funktioniert, indem er Datenverkehr an einen bestimmten Port sendet und die Ergebnisse untersucht. Wenn ein Port offen, geschlossen oder gefiltert ist Netzwerksicherheit Lösung reagiert es auf unterschiedliche Weise auf einen Port-Scan, einschließlich:

  • Offen: Ein offener Port, an dem eine Anwendung auf Datenverkehr lauscht, sollte auf eine legitime Anfrage antworten. Beispielsweise sollte ein offener Port, der ein TCP-SYN-Paket empfängt, mit einem SYN/ACK antworten.
  • Geschlossen: Wenn ein Port geschlossen ist, werden Versuche, mit ihm zu kommunizieren, vom Computer als Fehler gewertet. Ein TCP-SYN-Paket an einen geschlossenen Port sollte zu einem RST-Paket (Reset) führen.
  • Gefiltert: Einige Ports werden möglicherweise von einer Firewall oder gefiltert Intrusion Prevention Systeme (IPS). An diese Ports gesendete Pakete erhalten wahrscheinlich keine Antwort.

Verschiedene Computer reagieren auf unterschiedliche Pakete auf unterschiedliche Weise. Außerdem sind einige Arten von Port-Scans offensichtlicher als andere. Aus diesem Grund kann ein Portscanner verschiedene Scantechniken verwenden. 

Zu den häufigsten Arten von Port-Scans gehören:

  • Ping-Scan: Die einfachste Art von Scan, ein Ping-Scan, sendet eine Ping-Anfrage an einen Computer und sucht nach einer Ping-Antwort. Dieser Scan kann feststellen, ob ein Computer online und erreichbar ist.
  • SYN-Scan: Ein SYN-Paket ist der erste Schritt im TCP-Handshake, und offene Ports antworten mit einem SYN-ACK. Bei einem halboffenen SYN- oder TCP-Scan schließt der Port-Scanner den Handshake nicht mit der abschließenden Bestätigung ab, sodass die vollständige TCP-Verbindung nicht geöffnet wird.
  • TCP-Connect-Scan: Ein TCP-Verbindungsscan schließt den vollständigen TCP-Handshake ab. Sobald die Verbindung hergestellt ist, wird sie vom Scanner wie gewohnt abgebaut.
  • UDP-Scan: UDP-Scans prüfen, ob Ports auf UDP-Verkehr lauschen. Diese können DNS und andere UDP-basierte Dienste identifizieren.
  • XMAS- und FIN-Scans: XMAS- und FIN-Scans brechen den TCP-Standard durch Pakete mit ungültigen Flag-Kombinationen. Verschiedene Systeme reagieren auf diese Pakete unterschiedlich, sodass diese Scans Details über das Zielsystem und die Frage, ob es durch eine Firewall geschützt ist, aufdecken können.
  • FTP-Bounce-Scan: Das FTP-Protokoll ermöglicht Proxy-FTP-Verbindungen, bei denen ein Server im Namen eines Clients FTP-Verbindungen zu einem anderen Server herstellt. Ein FTP-Bounce-Scan nutzt diese Funktionalität, um indirekt einen Port-Scan durchzuführen.

Ein Port-Scan kann eine Fülle von Informationen über ein Zielsystem liefern. Neben der Erkennung, ob ein System online ist und welche Ports offen sind, können Port-Scanner auch die Anwendung identifizieren, die bestimmte Ports überwacht, sowie das Betriebssystem des Hosts. Diese zusätzlichen Informationen können aus Unterschieden in der Reaktion eines Systems auf bestimmte Arten von Anfragen gewonnen werden.

Wie nutzen Cyberkriminelle Port-Scanning als Angriffsmethode?

Das Scannen von Ports ist ein häufiger Schritt während der Aufklärungsphase eines Cyber-Angriff. Ein Port-Scan liefert wertvolle Informationen über eine Zielumgebung, einschließlich der Computer, die online sind, der darauf ausgeführten Anwendung und möglicherweise Details über das betreffende System und etwaige Abwehrmechanismen (Firewall usw.).

Diese Informationen können bei der Planung eines Angriffs hilfreich sein. Wenn der Angreifer beispielsweise weiß, dass eine Organisation einen bestimmten Web- oder DNS-Server betreibt, kann er potenziell ausnutzbare Schwachstellen in dieser Software identifizieren.

Verhindern Sie Port-Scan-Angriffe mit Check Point

Viele der von Port-Scannern verwendeten Techniken sind im Netzwerkverkehr erkennbar. Der Datenverkehr zu vielen Ports, von denen einige geschlossen sind, ist ungewöhnlich und kann von einer Netzwerksicherheitslösung wie einem IPS erkannt werden. Außerdem kann eine Firewall ungenutzte Ports filtern oder Zugriffskontrolllisten implementieren, die die an einen Port-Scanner bereitgestellten Informationen einschränken.

Check Point’s Quantum IPS Bietet Schutz vor Port-Scanning und anderen Cyber-Bedrohungen. Weitere Informationen zu den anderen Bedrohungen, die Quantum IPS bewältigen kann, finden Sie bei Check Point 2023 Cybersicherheitsbericht. Gerne auch Melden Sie sich für eine kostenlose Demo an um sich selbst von den Möglichkeiten von Quantum IPS zu überzeugen.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK