1. Support
  2. Glossar
  3. Port-Scanning

Port-Scanning

Was ist Port-Scanning?

Beim Port-Scanning werden die Ports eines Computers oder Servers untersucht, an denen Informationen gesendet und empfangen werden, in der Hoffnung, Aktivitäten oder Schwachstellen zu erkennen. Man kann sich das Scannen der Ports als „Klopfen an der Tür“ vorstellen, um festzustellen, ob sich jemand im Raum dahinter befindet. Durch Ausführen eines Port-Scans in einem Netzwerk oder Server wird angezeigt, welche Ports offen sind (um externe Daten zu akzeptieren) und es wird der Standort von Sicherheitssystemen angezeigt, die zwischen Sender und Empfänger vorhanden sind.

Die Port-Scan-Software sendet eine Verbindungsanfrage an das Zielsystem und fordert es auf, sich mit den einzelnen Ports nacheinander zu verbinden. Dabei wird festgehalten, welche Ports geantwortet haben und welche Ports genauer untersucht werden müssen. Während ein Port-Scan an sich nicht schädlich ist, ist er häufig ein Auftakt für gezielte Angriffe.

Port-Scan-Techniken

Ein Port-Scan sendet ein sorgfältig vorbereitetes Paket an jeden Zielport. Zu den grundlegenden Techniken einer Port-Scan-Software gehören unter anderem:

  • Vanilla: Einer der grundlegendsten Scan-Versuche, mit dem nacheinander Verbindungen zu allen 65.536 Ports hergestellt werden sollen. Beim Vanilla-Scan werden Verbindungsanfragen in Form von SYN-Flags ausgesandt; nach Erhalt einer SYN-ACK-Antwort (Bestätigung der Verbindung) wird eine ACK-Flag zurückgesandt. Dieser „SYN, SYN-ACK, ACK“-Austausch umfasst einen sogenannten „TCP-Handshake“. Diese Scans in Form einer Vollverbindung sind zwar oft sehr präzise, werden jedoch häufig erkannt, da Firewalls diese vollständigen Verbindungen protokollieren.
  • SYN-Scan: Dieser wird gelegentlich auch als halboffener Scan bezeichnet. Dabei wird ein synchronisiertes Paket (SYN) versandt und darauf gewartet, dass das Ziel mit einem SYN-ACK antwortet. Wird eine Antwort empfangen, beendet der Scanner jede weitere Kommunikation. Da die TCP-Verbindung nie vervollständigt wird, protokolliert die Firewall die Interaktion nicht, aber der Absender kann erkennen, ob der Port tatsächlich geöffnet ist.
  • XMAS- und FIN-Scans: Eine Sammlung von verschiedenen Scan-Arten, die Informationen sammeln, ohne dass ein Protokoll vom Zielsystem ausgelöst wird. Bei einem FIN-Scan wird ein unerwünschtes FIN-Flag, das normalerweise zum Abschließen einer bereits eingerichteten Sitzung verwendet wird, an einen Port weitergeleitet. Je nach Reaktion des Systems auf dieses Flag kann der Status des Ports angezeigt und sogar eine Firewall freigelegt werden. Ein XMAS-Scan sendet von jedem Flag ein Paket, wodurch eine chaotische Interaktion entsteht. Die Portantwort auf diesen Paketcluster kann sowohl den Status der Firewall als auch des Systems anzeigen.
  • FTP-Bounce-Scan: Der Standort des Absenders ist verborgen, indem das Paket zuerst über einen nicht zugehörigen FTP-Server gesendet wird. Dadurch kann der Paketsender unerkannt bleiben.
  • Sweep-Scan: Derselbe Port wird von einer großen Anzahl separater Systeme angepingt, um festzustellen, welche Computer im Netzwerk tatsächlich aktiv sind. Es kann dabei nicht festgestellt werden, welche Ports aktiv sind. Ziel ist es zu zeigen, welche Systeme im Netzwerk aktiv sind. Es handelt sich im Allgemeinen um einen ersten Scan, der von jemandem durchgeführt wird, der hofft, möglichst viele Informationen über das gescannte Netzwerk zu erhalten.

Beim Versuch, einen Port-Scan durchzuführen, werden die zurückgesendeten Informationen normalerweise in eine von drei Kategorien zusammengefasst:

  • Offen oder akzeptiert: Der Host hat eine Antwort gesendet, die angibt, dass der Port überwacht wird.
  • Geschlossen oder verweigert bzw. nicht überwacht: Der Host hat eine Antwort gesendet, die angibt, dass Verbindungen zum Port verweigert werden.
  • Gefiltert, abgebrochen oder blockiert: Der Host hat nicht geantwortet.

Port-Typen

Die Ports erhalten Nummern zwischen 0 und 65535, wobei bestimmte Nummernbereiche den größten Teil des Datenverkehrs übernehmen. Die Ports mit den Nummern 0 bis 1023 sind standardisierte Ports, die von Systemprozessen verwendet werden, die weit verbreitete Arten von Netzwerkdiensten bereitstellen. Diese Portzuweisungen werden von der Assigned Numbers Authority (IANA) definiert. Einige der bekanntesten Ports und die ihnen zugewiesenen Dienste umfassen:

  • Port 20 (UDP): FTP-Datenübertragung
  • Port 22 (TCP): Secure Shell (SSH)-Protokoll für gesicherte Logins, FTP sowie für Portweiterleitung
  • Port 23 (TCP): Telnet-Protokoll für unverschlüsselten Text-Austausch
  • Port 53 (UDP): DNS (Domain Name System), übersetzt Computerbezeichnungen im Internet in IP-Adressen
  • Ports 80 und 443 (TCP): World Wide Web HTTP und HTTPS

Über Ports, die wesentlich höhere Nummern haben als 1023, werden wichtige Dienste angeboten, von denen einige von Trojanern und Viren manipuliert werden können, um die Erkennung an den genauer beobachteten Ports zu vermeiden.

Warum Port-Scanning wichtig ist

Jedes System ist anfällig für Port-Scans. Bei den meisten Standardinstallationen von Betriebssystemen sind zahlreiche Ports geöffnet, um eine größere Flexibilität zu ermöglichen. Bevor ein System online geschaltet wird, sollte ein Port-Scan für das System durchgeführt werden. Wenn mehr Ports geöffnet sind als erforderlich, schließen Sie diese Ports. Je mehr Dienste ein System anbietet, desto anfälliger wird es.

Wenn ein System kompromittiert wurde, versuchen Angreifer oft, weitere Ports im System zu öffnen, damit sie Schwachstellen leichter ausnutzen können. Je wachsamer der Systemadministrator ist, desto widerstandsfähiger wird auch sein System gegen Eindringlinge sein und die Wahrscheinlichkeit, dass das System kompromittiert wird, verringert sich.

Port Scanning – weiterführende Ressourcen

Zugehörige Begriffe

Weiterführende Ressourcen

Wie Barracuda Sie unterstützen kann

Das Scannen von Ports ist eine gängige Technik, die von Firewalls verwendet wird, um zu verhindern, dass Bedrohungen in ein Netzwerk gelangen. Die Barracuda CloudGen Firewall ermöglicht ein hohes Maß an Granularität für die Regelmäßigkeit von Port-Scans. Darüber hinaus bieten Barracuda-Firewalls eine Bedrohungsscan-Seite, auf der alle vom Intrusion Prevention System (IPS), vom Virenscannerdienst und von Advanced Threat Protection (ATP) erkannten Bedrohungen aufgelistet sind.

Haben Sie weitere Fragen zum Thema Port Scanning? Wir helfen Ihnen gerne weiter!