We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Was sind Port-Scans?

Das Port-Scanning ist ein Verfahren, mit dem festgelegt wird, welche Ports in einem Netzwerk geöffnet sind und Daten empfangen bzw. senden könnten. Es ist auch ein Prozess, bei dem Pakete an bestimmte Ports auf einem Host gesendet und Antworten analysiert werden, um Schwachstellen zu ermitteln. Dieser Scanvorgang kann nicht durchgeführt werden, ohne eine Liste aktiver Hosts zu ermitteln und diese Hosts ihren IP-Adressen zuzuordnen. Nachdem ein gründlicher Netzwerkscan durchgeführt und eine Hostliste erstellt wurde, kann ein ordnungsgemäßer Port-Scan durchgeführt werden. Die Organisation von IP-Adressen, Hosts und Ports ermöglicht es dem Scanner, offene oder anfällige Serverstandorte mit dem Ziel der Diagnose von Sicherheitsstufen korrekt zu identifizieren.

Diese Scans zeigen auf, ob Sicherheitsvorkehrungen, wie beispielsweise Firewalls zwischen den Servern und den Benutzergeräten, vorhanden sind.

Sowohl Cyberhacker als auch Administratoren sind in der Lage, mit diesen Scans die Sicherheitsrichtlinien eines Netzwerks zu verifizieren bzw. zu überprüfen und Schwachstellen zu identifizieren. Potenzielle Angreifer können auf diese Weise unzureichend geschützte Einstiegspunkte ausnutzen.

Im Allgemeinen werden für das Port-Scanning die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) verwendet. Bei beiden handelt es sich Datenübertragungsmethoden für das Internet, doch sie nutzen unterschiedlichen Mechanismen. TCP ist eine zuverlässige, auf einer Zweiwege-Verbindung basierende Datenübertragung, die zur erfolgreichen Durchführung eines Sendevorgangs den Status des Empfängers abfragt. UDP ist verbindungslos und eher unzuverlässig. Die Daten werden ohne Rücksicht auf das Ziel gesendet, daher ist aber nicht garantiert, dass die Übertragung tatsächlich erfolgreich verläuft. Es gibt mehrere verschiedene Methoden, um Port-Scans mit diesen beiden Protokollen durchzuführen, was im Abschnitt Techniken weiter unten erläutert wird.

Was ist ein Port?

Ports bilden am Computer die zentrale Andockstelle für den Informationsfluss von einem Programm oder dem Internet zu einem Gerät oder einem anderen Computer im Netzwerk und umgekehrt. Es ist der Parkplatz für den Datenaustausch über elektronische, software- oder programmbezogene Mechanismen. Portnummern werden für Konsistenzzwecke und in der Programmierung verwendet. Die Portnummer in Kombination mit einer IP-Adresse stellen die wichtigen Informationen dar, die von jedem Internetdienstanbieter zur Erfüllung von Anfragen gespeichert werden. Ports reichen von 0 bis 65.536 und sind im Wesentlichen nach ihrer Popularität geordnet.

Die Ports 0 bis 1023 sind bekannte Portnummern, die für die Internetnutzung konzipiert sind, obwohl sie auch spezielleren Zwecken dienen können. Sie werden von der Internet Assigned Numbers Authority (IANA) verwaltet. Diese Ports werden von führenden Unternehmen wie Apple QuickTime, MSN, SQL-Diensten und anderen namhaften Unternehmen geführt. Sie erkennen vielleicht einige der bekanntesten Ports und die ihnen zugeordneten Dienste:

  • Port 20 (UDP) enthält das File Transfer Protocol (FTP) für den Datentransfer.
  • Port 22 (TCP) enthält das Secure Shell (SSH)-Protokoll für sichere Anmeldungen, FTP und Portweiterleitung.
  • Port 53 (UDP) ist das Domain Name System (DNS), welches Namen in IP-Adressen übersetzt
  • Port 80 (TCP) ist das World Wide Web HTTP

Die Nummern 1024 bis 49151 gelten als „registrierte Ports“, d.h. sie werden von Softwareunternehmen registriert. Die Ports 49.151 bis 65.536 sind dynamische und private Ports - und können von fast jedem genutzt werden.

Welche Art von Ergebnissen liefert nun ein Port-Scan?

Port-Scans melden sich an den Benutzer zurück und geben den Status des Netzwerks oder Servers an und zwar in einer der Kategorien: offen, geschlossen oder gefiltert.

Offene Ports zeigen Folgendes an:

Der Zielserver oder das Zielnetzwerk akzeptiert aktiv Verbindungen oder Datagramme und antwortet mit einem Paket, das Empfangsbereitschaft signalisiert. Es zeigt auch an, dass der für den Scan verwendete Dienst (normalerweise TCP oder UDP) ebenfalls verwendet wird. Das Ermitteln offener Ports zählt normalerweise zu den übergeordneten Zielen des Port-Scans und zu den Glücksmomenten eines Cyberkriminellen, der nach einem Angriffsweg sucht. Administratoren versuchen, diese Ports zu sperren, indem sie zu deren Schutz Firewalls installieren, ohne den Zugang für legitime Benutzer einzuschränken.

Geschlossene Ports zeigen Folgendes an:

Der Server oder das Netzwerk hat die Anfrage erhalten, aber es gibt auf diesem Port keinen Empfangsdienst. Ein geschlossener Port ist weiterhin zugänglich und kann nützlich sein, um anzuzeigen, dass sich ein Host auf einer IP-Adresse befindet. Diese Ports sollten weiterhin überwacht werden, da sie sich öffnen und Schwachstellen verursachen können. Administratoren sollten in Betracht ziehen, sie mit einer Firewall zu blockieren, wo sie dann zu „gefilterten“ Ports werden.

Gefilterte Ports zeigen Folgendes an:

Dass ein Anfragepaket gesendet wurde, aber der Host nicht geantwortet hat und nichts empfängt. Dies bedeutet in der Regel, dass ein Anfragepaket von einer Firewall herausgefiltert und/oder blockiert wurde. Somit erreichen die Pakete nicht ihren Zielort, sodass Angreifer keine weiteren Informationen erhalten können. Sie reagieren oft mit Fehlermeldungen wie „Ziel unerreichbar“ oder „Kommunikation unzulässig“.

Welche Verfahren werden beim Port-Scan eingesetzt?

Es gibt mehrere unterschiedliche Verfahren, bei denen Pakete aus verschiedenen Gründen an Ziele gesendet werden.

Nachfolgend werden einige der zahlreichen Verfahren und ihre Funktionsweise aufgeführt:

  • Die einfachsten Port-Scans nennt man Ping-Scans. Dies sind Internet Control Message Protocol (ICMP)-Anfragen. Ping-Scans senden eine automatisierte Welle aus mehreren ICMP-Anfragen an verschiedene Server, um sogenannte Köderantworten zu erhalten. Mithilfe dieses Verfahrens können Administratoren Probleme beheben oder den Ping über eine Firewall deaktivieren - was es zwielichtigen Akteuren unmöglich macht, das Netzwerk über Pings zu finden.
  • Ein halboffener Scan oder „SYN“-Scan sendet nur eine SYN-Nachricht (kurz für Synchronisieren) und beendet die Verbindung nicht, sodass sie offen bleibt. Es ist eine schnelle und raffinierte Methode, die darauf abzielt, potenzielle offene Ports auf Zielgeräten zu finden.
  • XMAS-Scans sind noch unauffälliger und bleiben häufig unbemerkt. Manchmal werden FIN-Pakete (Nachricht, die bedeutet, dass „keine weiteren Daten vom Absender verfügbar sind“) von Firewalls nicht bemerkt, da sie hauptsächlich nach SYN-Paketen suchen. Aus diesem Grund scannt XMAS gesendete Pakete mit allen Flags, einschließlich FIN, und erwartet keine Antwort. Keine Antwort bedeutet dabei, dass der Port offen ist. Der Empfang einer RST-Antwort gibt an, dass der Port geschlossen ist. Dies ist einfach eine raffiniertere Methode, um mehr über den Schutz und die Firewall eines Netzwerks zu erfahren, da dieser Scan selten in Protokollen auftaucht.

Wie können Cyberkriminelle das Port-Scanning für einen Angriff nutzen?

Laut dem SANS-Institut ist das Port-Scanning eine der beliebtesten Stategien von Cyberkriminellen, um nach anfälligen und angreifbaren Servern zu suchen.

Wenn diese Cyberkriminellen Netzwerke ins Visier nehmen, nutzen sie im ersten Schritt häufig Port-Scans. Sie verwenden den Scan, um die Sicherheitsstufen verschiedener Unternehmen zu ermitteln und festzustellen, wer eine wirksame Firewall betreibt und wessen Server oder Netzwerk eher anfällig ist. Eine Reihe von TCP-Protokolltechniken ermöglichen es Angreifern tatsächlich, ihren Netzwerkstandort zu verbergen und mit Hilfe von „Decoy-Traffic“ Port-Scans durchzuführen, ohne dem Ziel eine Netzwerkadresse preiszugeben.

Sie untersuchen Netzwerke und Systeme, um zu sehen, wie jeder Port reagiert - offen, geschlossen oder gefiltert. Offene und geschlossene Antworten alarmieren Hacker, dass sich Ihr Netzwerk tatsächlich auf der Empfängerseite des Scans befindet. Diese Cyberkriminellen können dann die Sicherheitsstufe und die Art des Betriebssystems in Ihrem Unternehmen ermitteln. Port-Scanning ist ein altes Verfahren, die Sicherheitsanpassungen und aktuelle Informationen über Bedrohungen erfordert, da sich die jeweiligen Protokolle und Sicherheitstools täglich weiterentwickeln. Port-Scan-Warnungen und Firewalls sind notwendig, um den Datenverkehr zu Ihren Ports zu überwachen und sicherzustellen, dass schädlicher Datenverkehr Ihr Netzwerk nicht erkennt.