Articles

Was ist ein Portscanner und wie funktioniert er?

admin September 18, 2021 0 Comment

Ein Portscanner ist ein Computerprogramm, das Netzwerkports auf einen von drei möglichen Status überprüft – offen, geschlossen oder gefiltert.

Portscanner sind wertvolle Werkzeuge bei der Diagnose von Netzwerk- und Konnektivitätsproblemen. Angreifer verwenden jedoch Portscanner, um mögliche Zugangspunkte für die Infiltration zu erkennen und zu identifizieren, welche Arten von Geräten Sie im Netzwerk ausführen, z. B. Firewalls, Proxyserver oder VPN-Server. Hier führen wir Sie durch die Vor- und Nachteile eines Portscanners, einschließlich:

  • Funktionsweise eines Portscanners
  • Techniken zum Scannen von Ports
  • Tools zum Scannen von Ports
  • So erkennen Sie einen Portscan
  • Warum sollten Sie einen Portscan ausführen

Wie funktioniert ein Portscanner?

drei mögliche Antworten zum Scannen von Ports

Ein Portscanner sendet eine Netzwerkanforderung, um eine Verbindung zu einem bestimmten TCP- oder UDP-Port auf einem Computer herzustellen, und zeichnet die Antwort auf.

Ein Portscanner sendet also ein Paket mit Netzwerkdaten an einen Port, um den aktuellen Status zu überprüfen. Wenn Sie überprüfen möchten, ob Ihr Webserver ordnungsgemäß funktioniert, überprüfen Sie den Status von Port 80 auf diesem Server, um sicherzustellen, dass er geöffnet ist und lauscht.

Der Status hilft Netzwerktechnikern bei der Diagnose von Netzwerkproblemen oder Anwendungskonnektivitätsproblemen oder hilft Angreifern, mögliche Ports für die Infiltration in Ihr Netzwerk zu finden.

Was ist ein Port?

Ein Port ist ein virtueller Ort, an dem die Netzwerkkommunikation beginnt und endet (kurz gesagt). Für eine ausführlichere Erklärung müssen wir ein paar Hintergrundinformationen erstellen. Es gibt zwei Arten von Netzwerkports auf jedem Computer (65.536 von jedem für insgesamt 131.082 Netzwerkports):

  • TCP und UDP

Jeder Computer hat eine IP-Adresse (Internet Protocol), wodurch das Netzwerk weiß, an welchen Computer Pakete gesendet werden sollen. Wenn Sie ein Paket an die IP-Adresse senden, weiß der Computer anhand der Anwendung oder des Paketinhalts, an welchen Port das Paket weitergeleitet werden soll. Jeder Dienst, der auf dem Computer ausgeführt wird, muss einen bestimmten Port „abhören“.Die ersten 1023 TCP-Ports sind die bekannten Ports, die für Anwendungen wie FTP (21), HTTP (80) oder SSH(22) reserviert sind, und die Internet Assigned Numbers Authority (IANA) behält sich diese Punkte vor, um sie standardisiert zu halten.

Die TCP-Ports 1024-49151 können von Diensten oder Anwendungen verwendet werden, und Sie können sie bei IANA registrieren. Die Ports 49152 und höher können kostenlos verwendet werden.

Grundlagen des Portscannens

Ein Portscanner sendet ein TCP- oder UDP-Netzwerkpaket und fragt den Port nach seinem aktuellen Status. Die drei Arten von Antworten sind unten aufgeführt:

  1. Öffnen, Akzeptiert: Der Computer antwortet und fragt, ob er etwas für Sie tun kann.
  2. Geschlossen, nicht lauschend: Der Computer antwortet, dass „Dieser Port derzeit verwendet wird und zu diesem Zeitpunkt nicht verfügbar ist.“
  3. Gefiltert, gelöscht, blockiert: Der Computer macht sich nicht einmal die Mühe zu antworten.

Port-Scans treten im Allgemeinen früh in der Cyber-Kill-Chain auf, während der Aufklärung und des Eindringens. Angreifer verwenden Port-Scans, um Ziele mit offenen und unbenutzten Ports zu erkennen, die sie für Infiltration, Befehls- und Steuerfunktionen sowie Datenexfiltration verwenden können, oder um herauszufinden, welche Anwendungen auf diesem Computer ausgeführt werden, um eine Sicherheitsanfälligkeit in dieser Anwendung auszunutzen.

Port-Scan-Techniken

fünf Port-Scan-Techniken

Nmap ist eines der beliebtesten verfügbaren Open-Source-Port-Scan-Tools. Nmap bietet eine Reihe verschiedener Port-Scan-Techniken für verschiedene Szenarien.

Ping-Scanner

Die einfachsten Port-Scans sind Ping-Scans. Ein Ping ist eine ICMP-Echoanforderung (Internet Control Message Protocol) – Sie suchen nach ICMP-Antworten, die anzeigen, dass das Ziel aktiv ist. Ein Ping-Scan ist eine automatisierte Explosion vieler ICMP-Echoanforderungen an verschiedene Ziele, um zu sehen, wer antwortet. Ping-Scans sind technisch gesehen keine Port-Scan-Techniken, da das Beste, was Sie zurückbekommen können, ist, dass sich am anderen Ende ein Computer befindet, aber es ist verwandt und normalerweise die erste Aufgabe, bevor Sie einen Port-Scan durchführen.

Administratoren deaktivieren ICMP (Ping) normalerweise entweder auf der Firewall oder auf dem Router für externen Datenverkehr und lassen es im Netzwerk offen. Es ist schnell und einfach, diese Funktionalität zu deaktivieren und es unmöglich zu machen, das Netzwerk auf diese Weise zu durchsuchen. Ping ist jedoch ein nützliches Tool zur Fehlerbehebung, und wenn Sie es ausschalten, wird es etwas schwieriger, Netzwerkprobleme aufzuspüren.

TCP Half Open

Eine der gebräuchlichsten und beliebtesten Port-Scan-Techniken ist der TCP Half-open Port Scan, manchmal auch als SYN Scan bezeichnet. Es ist ein schneller und hinterhältiger Scan, der versucht, potenzielle offene Ports auf dem Zielcomputer zu finden.

SYN-Pakete fordern eine Antwort von einem Computer an, und ein ACK-Paket ist eine Antwort. In einer typischen TCP-Transaktion werden eine SYN, eine ACK vom Dienst und eine dritte ACK-Bestätigungsnachricht empfangen.

Dieser Scan ist schnell und schwer zu erkennen, da er niemals den vollständigen TCP 3-Wege-Handshake abschließt. Der Scanner sendet eine SYN-Nachricht und notiert nur die SYN-ACK-Antworten. Der Scanner schließt die Verbindung nicht durch Senden der endgültigen Bestätigung ab: Das Ziel bleibt hängen.

Alle SYN-ACK-Antworten sind möglicherweise offene Ports. Eine RST (Reset) -Antwort bedeutet, dass der Port geschlossen ist, aber hier ein Live-Computer vorhanden ist. Keine Antworten zeigen an, dass SYN im Netzwerk gefiltert wird. Eine ICMP- (oder Ping-) No-Antwort zählt ebenfalls als gefilterte Antwort.

TCP-halboffene Scans sind die Standard-Scans in NMAP.

TCP Connect

Diese Port-Scan-Technik ist im Grunde die gleiche wie der TCP-halboffene Scan, aber anstatt das Ziel hängen zu lassen, schließt der Port-Scanner die TCP-Verbindung ab.

Es ist keine so beliebte Technik wie das TCP half-open. Zuerst müssen Sie ein weiteres Paket pro Scan senden, was die Menge an Rauschen erhöht, die Sie im Netzwerk erzeugen. Zweitens, da Sie die Verbindung des Ziels abgeschlossen haben, können Sie einen Alarm auslösen, den der halboffene Scan nicht auslösen würde.

Zielsysteme protokollieren mit größerer Wahrscheinlichkeit eine vollständige TCP-Verbindung, und Intrusion Detection-Systeme (IDS) lösen mit ähnlicher Wahrscheinlichkeit Alarme bei mehreren TCP-Verbindungen desselben Hosts aus.

Der Vorteil des TCP Connect-Scans besteht darin, dass ein Benutzer nicht die gleichen Berechtigungen benötigt, um den halboffenen Scan auszuführen. TCP Connect Scans verwenden die Verbindungsprotokolle, die jeder Benutzer benötigt, um sich mit anderen Systemen zu verbinden.

UDP

UDP-Scans sind langsamer als TCP-Scans, aber es gibt viele ausnutzbare UDP-Dienste, die Angreifer verwenden können, zum Beispiel DNS-Exfiltration. Verteidiger müssen ihre UDP-Ports mit der gleichen Gefräßigkeit wie ihre TCP-Ports schützen.

UDP-Scans funktionieren am besten, wenn Sie eine bestimmte Nutzlast an das Ziel senden. Wenn Sie beispielsweise wissen möchten, ob ein DNS-Server aktiv ist, senden Sie eine DNS-Anfrage. Bei anderen UDP-Ports wird das Paket leer gesendet. Eine nicht erreichbare ICMP-Antwort bedeutet, dass der Port geschlossen oder gefiltert ist. Wenn ein Dienst ausgeführt wird, erhalten Sie möglicherweise eine UDP-Antwort, was bedeutet, dass der Port geöffnet ist. Keine Antwort kann bedeuten, dass der Port offen oder gefiltert ist.

Eine weitere logische Verwendung eines UDP-Scans besteht darin, eine DNS-Anfrage an UDP-Port 53 zu senden und zu prüfen, ob Sie eine DNS-Antwort erhalten. Wenn Sie eine Antwort erhalten, wissen Sie, dass sich auf diesem Computer ein DNS-Server befindet. Ein UDP-Scan kann nützlich sein, um auf diese Weise nach aktiven Diensten zu suchen, und der Nmap-Portscanner ist vorkonfiguriert, um Anforderungen für viele Standarddienste zu senden.

Unterschied zwischen TCP und UDP

TCP und UDP sind die beiden am häufigsten verwendeten Protokolle für IP-Netzwerke (Internet Protocol). Transmission Control Protocol (TCP) ist ein nettes geordnetes Transaktionsprotokoll: TCP sendet jedes Paket der Reihe nach, einschließlich Fehlerprüfung, Überprüfung und einem 3-Wege-Handshake, um zu bestätigen, dass jedes Paket erfolgreich ist.

UDP hat keine Fehlerprüfung, ist aber tendenziell schneller. Live-Streaming und Online-Videospiele verwenden aus diesem Grund häufig UDP. Programme, die UDP verwenden, senden also nur die Daten – und wenn Sie ein Paket verpassen, erhalten Sie es nie wieder.

Stealth-Scanning

Einige Port-Scans sind leichter zu erkennen als andere, daher müssen Verteidiger über diese TCP-Flags Bescheid wissen, die es Angreifern ermöglichen, ihre Port-Scans schwer zu erkennen.

Wenn Sie einen Port-Scan mit einem Paket und dem FIN-Flag senden, senden Sie das Paket und erwarten keine Antwort. Wenn Sie einen RST erhalten, können Sie davon ausgehen, dass der Port geschlossen ist. Wenn Sie nichts zurückbekommen, bedeutet dies, dass der Port geöffnet ist. Firewalls suchen nach SYN-Paketen, sodass FIN-Pakete unentdeckt durchrutschen.

Der X-MAS-Scan sendet ein Paket mit den FIN-, URG- und PUSH-Flags und erwartet eine erste oder keine Antwort, genau wie der FIN-Scan. Es gibt nicht viel praktischen Nutzen für diesen Scan, aber das Paket ähnelt einem Weihnachtsbaum, also gibt es das.

Sie können auch Pakete ohne Flags senden, die als Nullpaket bezeichnet werden, und die Antwort lautet entweder RST oder nothing.

Das Gute – für den Hacker – an diesen Scans ist, dass sie normalerweise nicht in Protokollen angezeigt werden. Neuere Intrusion Detection Software (IDS) und natürlich WireShark werden diese Scans abfangen. Die schlechte Nachricht ist, dass, wenn das Ziel ein Microsoft-Betriebssystem ist, Sie nur geschlossene Ports sehen werden – aber wenn Sie einen offenen Port finden, können Sie davon ausgehen, dass es sich nicht um einen Windows-Computer handelt. Der wichtigste Vorteil der Verwendung dieser Flags besteht darin, dass sie an Firewalls vorbeirutschen können, wodurch die Ergebnisse zuverlässiger werden.

Zusätzliche Scantechniken

Die von uns diskutierten Scans sind die häufigsten, aber dies ist keine erschöpfende Liste. Hier sind einige weitere Scans und die Gründe, sie auszuführen:

  • TCP ACK Scan: um Firewall–Regelsätze zuzuordnen
  • TCP Window Scan: Kann offene Ports von geschlossenen Ports unterscheiden, funktioniert aber nur auf einer Minderheit von Systemen
  • -scanflags: Für fortgeschrittene Benutzer, die ihre benutzerdefinierten TCP-Flags in einem Scan senden möchten, können Sie dies in Nmap tun

Port-Scan-Tools

  1. Nmap
  2. Solarwinds Port Scanner
  3. Netcat
  4. Erweiterter Portscanner
  5. NetScan-Tools

Wie erkenne ich einen Portscan?

vier Methoden zur Erkennung von Port-Scans

Es gibt verschiedene Techniken zur Erkennung von Port-Scans, bei denen es sich um Versuche handeln kann, Ihr Netzwerk auf Schwachstellen zu überprüfen.

One ist eine spezielle Port-Scan-Detektor-Softwareanwendung wie PortSentry oder Scanlogd.

Netcat enthält Port-Scan-Funktionalität sowie die Möglichkeit, einen einfachen Chat-Server zu erstellen oder verschiedene Pakete zu Testzwecken zu programmieren.

Intrusion Detection Systeme (IDS) sind eine weitere Möglichkeit, Port-Scans zu erkennen. Suchen Sie nach einem IDS, das eine Vielzahl von Regeln verwendet, um die verschiedenen Arten von Port-Scans zu erkennen, die nicht nur auf Schwellenwerten basieren.

Warum sollten Sie einen Port-Scan durchführen?

Sie sollten Port-Scans proaktiv durchführen, um alle möglichen Schwachstellen zu erkennen und zu schließen, die Angreifer ausnutzen könnten.

Proaktives Port-Scannen ist eine gute Angewohnheit, die Sie regelmäßig wiederholen sollten. Überprüfen und überprüfen Sie außerdem alle offenen Ports, um sicherzustellen, dass sie korrekt verwendet werden und dass alle Anwendungen, die offene Ports verwenden, sicher und vor bekannten Sicherheitslücken geschützt sind.

Auswirkungen der Ausführung eines Port-Scans

Hier sind einige Einschränkungen bei der Ausführung von Port-Scans. Einige Dienste oder Computer können bei einem Port-Scan fehlschlagen. Dies gilt für interne Systeme mehr als für mit dem Internet verbundene Systeme, aber es kann passieren.

Das Ausführen von Port-Scans ohne Autorisierung kann als aggressive Aktion angesehen werden, und wenn Sie sich in einem freigegebenen Netzwerk befinden, scannen Sie möglicherweise ein System, das nicht unter Ihrer Kontrolle steht, was nicht gut ist.

Port-Scans sind ein kritischer Teil des Aufbaus einer guten Verteidigung gegen Cyberangriffe. Angreifer verwenden auch Port-Scans. Sie müssen sie bis zum Anschlag schlagen und mögliche Angriffsvektoren schließen und ihnen das Leben so schwer wie möglich machen.

Der Schutz des Perimeters ist jedoch nur ein Teil des Kampfes. Sie müssen Ihre Daten mit der gleichen Wachsamkeit schützen und überwachen wie Ihre Ports. Varonis Data Security Platform hilft Ihnen, Ihre Daten zu schützen, indem Sie interne Barrieren für Ihre sensibelsten Daten errichten und dann alle Aktivitäten überwachen, die sich auf diese Daten auswirken könnten.

Schauen Sie sich unser Live Cyber Attack Lab an, um zu sehen, wie Varonis Daten vor verschiedenen Angriffen schützt.

admin

Related Posts

fizikai Geológia

Januar 7, 2022

fysikaalinen geologia

Januar 7, 2022

fysische Geologie

Januar 7, 2022

Geologia fizyczna

Januar 7, 2022

Physikalische Geologie

Januar 7, 2022

fyzikální Geologie

Januar 7, 2022

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.