Portscanning Grundlagen
Zur Navigation springen
Zur Suche springen
Allgemein
- Beim Portscanning werden die Ports des Ziels auf vorhandene Dienste geprüft.
- Dadurch erhält der Angreifer Informationen über mögliche Angriffspunkte auf dem Zielsystem.
- Portscans dienen der Informationsgewinnung, verbrauchen aber auch Systemressourcen.
- Portscanning gilt trotz dieser für die Informationsgewinnung wichtigen Funktion als klassischer Denial of Service Angriff.
- Sie sind damit ein weiterer DoS Angriff, wenn auch weniger effizient als andere DoS Formen.
- Portscans gehen häufig wirklichen Angriffen voraus.
- Portscans beschränken sich häufig auf einige wenige, ausgesuchte Zielports, auf denen verbreitete Netzwerkdienste laufen.
- Diese Dienste haben in der Vergangenheit oft Schwachstellen in der Sicherheit aufgezeigt und sind ein idealer Ausgangspunkt für Angriffe.
- Da dieser eine entsprechende Anzahl an Scans gleichzeitig den Zielrechner blockieren kann.
Portscanner
- Überprüft welcher Port auf einem System auf eingehende Verbindungen wartet
- Zusatzfunktion der Dienstkennung
- Welcher Dienst läuft hier?
- Um welches Produkt handelt es sich?
- Welche Version wird eingesetzt?
- Zusatzfunktion der Betriebssystemkennung
- TCP Scan oft über den 3 Way Handshake
Port-Zustände
offen
- Ein Programm ist bereit, TCP-Verbindungen oder UDP-Pakete auf diesem Port anzunehmen.
geschlossen
- Ein geschlossener Port ist erreichbar (er empfängt und antwortet), aber es gibt kein Programm, der ihn abhört.
- Er kann von Nutzen sein, um zu zeigen, dass ein Host online ist und eine IP-Adresse benutzt.
- Es wird als Teil der Betriebssystemerkennung genutzt.
gefiltert
- Es kann nicht festgestellt werden, ob der Port offen ist.
- Eine Paketfilterung verhindert, dass seine Testpakete den Port erreichen.
- Die Filterung könnte durch dafür vorgesehene Firewalls und Router-Regeln umgesetzt worden sein.
ungefiltert
- Der Zustand ungefiltert bedeutet, dass ein Port zugänglich ist
- Es kann aber nicht festgestellt werden kann, ob er offen oder geschlossen ist.
offen|gefiltert
- Klassifiziert einen Port in diesen Zustand, wenn es nicht feststellen kann, ob der Port offen oder gefiltert ist.
- Das kommt bei Scan-Methoden vor, in denen offene Ports keine Antwort geben.
- Das Fehlen einer Antwort könnte auch bedeuten, dass ein Paketfilter das Testpaket verworfen hat.
geschlossen|gefiltert
- Dieser Zustand wird benutzt, wenn man nicht feststellen kann, ob ein Port geschlossen ist oder gefiltert wird.
Methoden
TCP-connect()-Scan
- Vollständiger 3 Way Handshake
- Sehr einfach zu programmieren
TCP-SYNScan
- SYN Packet wird gesendet
- SYN/ACK wird vom gescannten Rechner zurück geschickt
- Somit gilt der Port als offen
- RST wird zum Opfer geschickt
TCP-FIN
- Es wird ein FIN Paket gesendet
- Keine Antwort - open|filtered
- TCP RST packet - closed
- ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13) - filtered
Xmas
- Es wird ein FIN,URG,PUSH Paket gesendet
- Keine Antwort - open|filtered
- TCP RST packet - closed
- ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13) - filtered
Null-Scan
- Es wird ein Paket ohne Flags gesendet
- Keine Antwort - open|filtered
- TCP RST packet - closed
- ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13) - filtered
Idle Scan
https://www.researchgate.net/figure/TCP-Idle-Scan-in-IPv4_fig3_256195912
UDP Scan
- sehr unzuverlässig
- Keine UDP Antwort - open
- Keine UDP Antwort (even after retransmissions) - open|filtered
- ICMP port unreachable error (type 3, code 3) - closed
- Other ICMP unreachable errors (type 3, code 1, 2, 9, 10, or 13) - filtered
![Bearbeiten](javascript:editDrawio("1716437848", "tcp-connect.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("134039924", "tcp-syn-scan.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("379652167", "tcp-fin.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("327847908", "tcp-xmas.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("781338263", "tcp-null.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("484088087", "udp-scan.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Rechtliche Aspekte
- Die Legalität von Portscans ist umstritten.
- Könnte eines Eindringversuches gewertet werden können.
- In jedem Fall ist eine Benutzung auf eigenen Systemen legal.
- Unklarer ist die Rechtslage bei Portscans gegen fremde Systeme und Netzwerke.
- Empfindliche Computer könnten durch viele Verbindungsanfragen gestört werden.
- Könnte dann als Angriff auf die Verfügbarkeit eines Systems gewertet werden.
- Deutschland könnte dies durch § 303b StGB Computersabotage bestraft werden.
- Das SANS-Institut bestätigt in einer Veröffentlichung ebenfalls den Zwiespalt von Portscans.
- Portscanner werden jedoch aktuell nicht als Computerprogramm zum Ausspähen von Daten nach § 202c StGB (Hackerparagraf) angesehen,
- Sie umgehen keine Sicherheitsmechanismen oder fangen keine Daten ab.
- Sie könnten jedoch je nach Fall als Vorbereitung eines Angriffs angesehen und juristisch behandelt werden.