Ein Port-Scan ist eine Netzwerk-Erkundungstechnik, mit der ermittelt werden soll, welche Ports auf einem Computer geöffnet sind. Dies kann es dem Scanner ermöglichen, die auf dem System laufende Anwendung zu identifizieren, da bestimmte Programme bestimmte Ports abhören und auf bestimmte Weise auf den Datenverkehr reagieren. HTTP verwendet beispielsweise Port 80, DNS verwendet Port 53 und SSH verwendet Port 22.
IP-Adressen sind für die Weiterleitung des Datenverkehrs über ein Netzwerk von entscheidender Bedeutung. Eine IP-Adresse identifiziert eindeutig das Gerät, an das ein Paket weitergeleitet werden soll. Allerdings reicht es nicht aus, zu wissen, dass ein bestimmter Computer ein Paket empfangen soll, um sein Ziel zu erreichen. Auf einem Computer können viele verschiedene Anwendungen gleichzeitig ausgeführt werden, und mehrere können gleichzeitig Datenverkehr über das Netzwerk senden und empfangen.
Die Protokolle TCP und UDP definieren das Konzept der Ports auf einem Computer. Eine Anwendung kann Datenverkehr senden und einen bestimmten Port abhören. Die Kombination aus einer IP-Adresse und einem Port ermöglicht es dem Gerät und dem Endgerät, sicherzustellen, dass der Datenverkehr die vorgesehene Anwendung erreicht.
Ein Port-Scanner wie nmap funktioniert, indem er Datenverkehr an einen bestimmten Port sendet und die Ergebnisse untersucht. Wenn ein Port offen, geschlossen oder gefiltert ist Netzwerksicherheit Lösung reagiert es auf unterschiedliche Weise auf einen Port-Scan, einschließlich:
Verschiedene Computer reagieren auf unterschiedliche Pakete auf unterschiedliche Weise. Außerdem sind einige Arten von Port-Scans offensichtlicher als andere. Aus diesem Grund kann ein Portscanner verschiedene Scantechniken verwenden.
Zu den häufigsten Arten von Port-Scans gehören:
Ein Port-Scan kann eine Fülle von Informationen über ein Zielsystem liefern. Neben der Erkennung, ob ein System online ist und welche Ports offen sind, können Port-Scanner auch die Anwendung identifizieren, die bestimmte Ports überwacht, sowie das Betriebssystem des Hosts. Diese zusätzlichen Informationen können aus Unterschieden in der Reaktion eines Systems auf bestimmte Arten von Anfragen gewonnen werden.
Das Scannen von Ports ist ein häufiger Schritt während der Aufklärungsphase eines Cyber-Angriff. Ein Port-Scan liefert wertvolle Informationen über eine Zielumgebung, einschließlich der Computer, die online sind, der darauf ausgeführten Anwendung und möglicherweise Details über das betreffende System und etwaige Abwehrmechanismen (Firewall usw.).
Diese Informationen können bei der Planung eines Angriffs hilfreich sein. Wenn der Angreifer beispielsweise weiß, dass eine Organisation einen bestimmten Web- oder DNS-Server betreibt, kann er potenziell ausnutzbare Schwachstellen in dieser Software identifizieren.
Viele der von Port-Scannern verwendeten Techniken sind im Netzwerkverkehr erkennbar. Der Datenverkehr zu vielen Ports, von denen einige geschlossen sind, ist ungewöhnlich und kann von einer Netzwerksicherheitslösung wie einem IPS erkannt werden. Außerdem kann eine Firewall ungenutzte Ports filtern oder Zugriffskontrolllisten implementieren, die die an einen Port-Scanner bereitgestellten Informationen einschränken.
Check Point’s Quantum IPS Bietet Schutz vor Port-Scanning und anderen Cyber-Bedrohungen. Weitere Informationen zu den anderen Bedrohungen, die Quantum IPS bewältigen kann, finden Sie bei Check Point 2023 Cybersicherheitsbericht. Gerne auch Melden Sie sich für eine kostenlose Demo an um sich selbst von den Möglichkeiten von Quantum IPS zu überzeugen.