Ein Port-Scan ist ein bisschen wie ein Haufen WackelnTürklinken, um zu sehen, welche Türen verschlossen sind. Der Scanner erkennt, welche Ports eines Routers oder einer Firewall geöffnet sind, und kann anhand dieser Informationen die potenziellen Schwachstellen eines Computersystems ermitteln.
Was ist ein Hafen?
Wenn ein Gerät über a eine Verbindung zu einem anderen Gerät herstelltIm Netzwerk wird eine TCP- oder UDP-Portnummer zwischen 0 und 65535 angegeben. Einige Ports werden jedoch häufiger verwendet. Die TCP-Ports 0 bis 1023 sind bekannte Ports, die Systemdienste bereitstellen. Beispiel: Port 20 ist eine FTP-Dateiübertragung, Port 22 ist eine SSH-Terminalverbindung (Secure Shell), Port 80 ist Standard-HTTP-Webverkehr und Port 443 ist verschlüsseltes HTTPS. Wenn Sie also eine Verbindung zu einer sicheren Website herstellen, kommuniziert Ihr Webbrowser mit dem Webserver, der Port 443 dieses Servers abhört.
Dienste müssen nicht immer auf diesen ausgeführt werdenspezifische Ports. Sie können beispielsweise einen HTTPS-Webserver an Port 32342 oder einen Secure Shell-Server an Port 65001 ausführen. Dies sind nur die Standardeinstellungen.
Was ist ein Port-Scan?
Ein Port-Scan ist ein Prozess zum Überprüfen allerPorts an einer IP-Adresse, um festzustellen, ob sie geöffnet oder geschlossen sind. Die Port-Scan-Software überprüft Port 0, Port 1, Port 2 und den gesamten Weg bis zu Port 65535. Hierzu wird einfach eine Anforderung an jeden Port gesendet und eine Antwort angefordert. In der einfachsten Form fragt die Port-Scan-Software nach jedem Port einzeln. Das Remote-System antwortet und sagt, ob ein Port offen oder geschlossen ist. Die Person, die den Port-Scan ausführt, weiß dann, welche Ports offen sind.
Alle Netzwerkfirewalls, die sich im Weg befinden, können den Datenverkehr blockieren oder auf andere Weise abbauen. Ein Port-Scan ist daher auch eine Methode, um festzustellen, welche Ports auf diesem Remote-System erreichbar oder für das Netzwerk zugänglich sind.
Das nmap-Tool ist ein allgemeines Netzwerkdienstprogramm, das zum Scannen von Ports verwendet wird. Es gibt jedoch auch viele andere Tools zum Scannen von Ports.
Warum werden Port-Scans durchgeführt?
Port-Scans sind nützlich, um die eines Systems zu bestimmenSchwachstellen. Ein Port-Scan würde einem Angreifer mitteilen, welche Ports auf dem System offen sind, und dies würde ihm helfen, einen Angriffsplan zu formulieren. Wenn beispielsweise festgestellt wird, dass ein Secure Shell-Server (SSH) an Port 22 empfangsbereit ist, kann der Angreifer versuchen, eine Verbindung herzustellen und nach schwachen Kennwörtern zu suchen. Wenn ein anderer Servertyp einen anderen Port überwacht, kann der Angreifer nachsehen, ob ein Fehler vorliegt, der ausgenutzt werden kann. Möglicherweise wird eine alte Version der Software ausgeführt, und es gibt eine bekannte Sicherheitslücke.
Diese Arten von Scans können ebenfalls zur Erkennung beitragenDienste, die an nicht standardmäßigen Ports ausgeführt werden. Wenn Sie also einen SSH-Server an Port 65001 anstelle von Port 22 ausführen, wird dies beim Port-Scan angezeigt, und der Angreifer kann versuchen, über diesen Port eine Verbindung zu Ihrem SSH-Server herzustellen. Sie können einen Server nicht nur an einem anderen als dem Standardport verstecken, um Ihr System zu schützen. Dadurch wird es jedoch schwieriger, den Server zu finden.
Port-Scans werden nicht nur von Angreifern verwendet. Port-Scans sind nützlich für defensive Penetrationstests. Eine Organisation kann ihre eigenen Systeme scannen, um festzustellen, welche Dienste dem Netzwerk ausgesetzt sind, und um sicherzustellen, dass sie sicher konfiguriert sind.
Wie gefährlich sind Port-Scans?
Ein Port-Scan kann einem Angreifer helfen, eine Schwachstelle zu findenZeigen Sie auf einen Angriff und brechen Sie in ein Computersystem ein. Dies ist jedoch nur der erste Schritt. Nur weil Sie einen offenen Port gefunden haben, können Sie ihn nicht angreifen. Sobald Sie jedoch einen offenen Port gefunden haben, an dem ein Abhördienst ausgeführt wird, können Sie ihn nach Sicherheitslücken durchsuchen. Das ist die wahre Gefahr.
In Ihrem Heimnetzwerk haben Sie mit ziemlicher Sicherheit eineRouter sitzt zwischen dir und dem Internet. Jemand im Internet kann Ihren Router nur über einen Port scannen und findet abgesehen von potenziellen Diensten auf dem Router selbst nichts. Dieser Router fungiert als Firewall - es sei denn, Sie haben einzelne Ports von Ihrem Router an ein Gerät weitergeleitet. In diesem Fall sind diese spezifischen Ports dem Internet ausgesetzt.
Für Computerserver und UnternehmensnetzwerkeFirewalls können so konfiguriert werden, dass sie Port-Scans erkennen und Datenverkehr von der gescannten Adresse blockieren. Wenn alle dem Internet ausgesetzten Dienste sicher konfiguriert sind und keine bekannten Sicherheitslücken aufweisen, sollten Port-Scans nicht allzu beängstigend sein.
Arten von Port-Scans
Bei einem Scan des Ports "TCP-Vollverbindung" wird der ScannerSendet eine SYN-Nachricht (Verbindungsanforderung) an einen Port. Wenn der Port offen ist, antwortet das ferne System mit einer SYN-ACK-Nachricht (Bestätigung). Der Scanner antwortet daraufhin mit einer eigenen Bestätigungsmeldung (ACK). Dies ist ein vollständiger TCP-Verbindungs-Handshake, und der Scanner weiß, dass das System Verbindungen an einem Port akzeptiert, wenn dieser Vorgang stattfindet.
Wenn der Port geschlossen ist, antwortet das Remote-System mit einer RST-Meldung (Reset). Wenn das Remote-System gerade nicht im Netzwerk vorhanden ist, erfolgt keine Antwort.
Einige Scanner führen einen halboffenen TCP-Scan durch. Anstatt einen vollständigen SYN-, SYN-ACK- und dann ACK-Zyklus zu durchlaufen, senden sie einfach eine SYN und warten auf eine SYN-ACK- oder RST-Nachricht als Antwort. Es ist nicht erforderlich, eine endgültige ACK zu senden, um die Verbindung herzustellen, da die SYN-ACK dem Scanner alles mitteilt, was er wissen muss. Es ist schneller, weil weniger Pakete gesendet werden müssen.
Bei anderen Arten von Scans wird ein Fremder gesendet.fehlerhafte Pakettypen und warten darauf, ob das ferne System ein RST-Paket zurückgibt, das die Verbindung beendet. In diesem Fall weiß der Scanner, dass sich an diesem Standort ein Remote-System befindet und dass ein bestimmter Port geschlossen ist. Wenn kein Paket empfangen wird, weiß der Scanner, dass der Port offen sein muss.
Ein einfacher Port-Scan, bei dem die Software nacheinander Informationen zu jedem Port abfragt, ist leicht zu erkennen. Netzwerkfirewalls können einfach konfiguriert werden, um dieses Verhalten zu erkennen und zu stoppen.
Aus diesem Grund funktionieren einige Port-Scan-Technikenanders. Beispielsweise könnte ein Port-Scan einen kleineren Bereich von Ports oder den gesamten Bereich von Ports über einen viel längeren Zeitraum scannen, sodass die Erkennung schwieriger wäre.
Port-Scans sind eine grundlegende SicherheitsmaßnahmeWerkzeug, wenn es darum geht, Computersysteme zu durchdringen (und zu sichern). Sie sind jedoch nur ein Tool, mit dem Angreifer Ports finden können, die für Angriffe anfällig sind. Sie gewähren einem Angreifer keinen Zugriff auf ein System, und ein sicher konfiguriertes System kann einem vollständigen Port-Scan ohne Schaden standhalten.
Bildnachweis: xfilephotos / Shutterstock.com, Casezy Idee / Shutterstock.com.
