Was ist Port-Scanning? Es ist vergleichbar mit einem Dieb, der durch Ihre Nachbarschaft geht und jede Tür und jedes Fenster in jedem Haus überprüft, um zu sehen, welche geöffnet und welche gesperrt sind.
TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) sind zwei der Protokolle, aus denen sich die TCP / IP-Protokollfamilie zusammensetzt, die universell zur Kommunikation im Internet verwendet wird. Jeder dieser Ports verfügt über die Ports 0 bis 65535, sodass im Wesentlichen mehr als 65.000 Türen zum Schließen vorhanden sind.
Die ersten 1024 TCP-Ports werden als bekannte Ports bezeichnet und sind mit Standarddiensten wie FTP, HTTP, SMTP oder DNS verbunden. Einige der Adressen über 1023 verfügen auch über allgemein zugeordnete Dienste, die Mehrheit dieser Ports ist jedoch keinem Dienst zugeordnet und steht einem Programm oder einer Anwendung zur Verfügung, über das sie kommunizieren können.
Wie Port Scanning funktioniert
Die Port-Scanning-Software sendet in ihrem einfachsten Zustand einfach eine Aufforderung, die Verbindung zum Zielcomputer an jedem Port nacheinander herzustellen, und notiert, welche Ports auf eine eingehendere Prüfung geantwortet haben oder offen zu sein scheinen.
Wenn der Port-Scan mit böswilliger Absicht durchgeführt wird, würde der Eindringling es vorziehen, unentdeckt zu bleiben. Netzwerksicherheitsanwendungen können so konfiguriert werden, dass Administratoren benachrichtigt werden, wenn sie von einem einzigen Host aus Verbindungsanforderungen über eine Vielzahl von Ports erkennen. Um dies zu umgehen, kann der Eindringling den Port-Scan im Strobe- oder Stealth-Modus durchführen. Beim Strobing werden die Ports auf einen kleineren Zielsatz begrenzt, anstatt alle 65536-Ports generell zu scannen. Beim Stealth-Scanning werden Techniken wie das Verlangsamen des Scans verwendet. Durch das Scannen der Ports über einen längeren Zeitraum verringern Sie die Wahrscheinlichkeit, dass das Ziel einen Alarm auslöst.
Durch das Setzen verschiedener TCP-Flags oder das Senden verschiedener Arten von TCP-Paketen kann der Port-Scan unterschiedliche Ergebnisse generieren oder offene Ports auf unterschiedliche Weise ermitteln. Ein SYN-Scan teilt dem Port-Scanner mit, welche Ports abhören und welche nicht von der Art der erzeugten Antwort abhängen. Bei einem FIN-Scan wird eine Antwort von geschlossenen Ports generiert, aber Ports, die offen sind und abhören, senden keine Antwort, sodass der Port-Scanner feststellen kann, welche Ports offen sind und welche nicht.
Es gibt verschiedene Methoden zum Durchführen der eigentlichen Port-Scans sowie Tricks zum Ausblenden der tatsächlichen Quelle eines Port-Scans.
So überwachen Sie Port-Scans
Es ist möglich, Ihr Netzwerk auf Port-Scans zu überwachen. Wie bei den meisten Dingen in der Informationssicherheit besteht der Trick darin, die richtige Balance zwischen Netzwerkleistung und Netzwerksicherheit zu finden. Sie können auf SYN-Scans überwachen, indem Sie jeden Versuch protokollieren, ein SYN-Paket an einen Port zu senden, der nicht geöffnet ist oder nicht abhört. Anstatt jedoch jedes Mal, wenn ein einzelner Versuch auftritt, gewarnt zu werden - und möglicherweise wegen eines ansonsten unschuldigen Fehlers mitten in der Nacht geweckt zu werden - sollten Sie sich für Schwellenwerte entscheiden, um die Warnung auszulösen. Sie könnten beispielsweise sagen, dass in einer bestimmten Minute, wenn mehr als 10 SYN-Paketversuche mit nicht abhörenden Ports durchgeführt werden, eine Warnung ausgelöst werden soll. Sie könnten Filter und Traps entwickeln, um eine Vielzahl von Port-Scan-Methoden zu erkennen, beispielsweise nach Spitzen in FIN-Paketen oder nach einer ungewöhnlichen Anzahl von Verbindungsversuchen zu einer Vielzahl von Ports und / oder IP-Adressen von einer einzigen IP-Quelle.
Um sicherzustellen, dass Ihr Netzwerk geschützt und geschützt ist, möchten Sie möglicherweise eigene Port-Scans durchführen. EIN HAUPT Vorbeugung ist hier, um sicherzustellen, dass Sie die Zustimmung zu allen Befugnissen haben, bevor Sie mit diesem Projekt beginnen, damit Sie sich nicht auf der falschen Seite des Gesetzes befinden. Um genaue Ergebnisse zu erhalten, empfiehlt es sich, den Port-Scan von einem externen Standort aus mit Fremdgeräten und einem anderen ISP durchzuführen. Mit einer Software wie Nmap können Sie eine Reihe von IP-Adressen und -Ports scannen und herausfinden, was ein Angreifer sehen könnte, wenn er Ihr Netzwerk portieren möchte. Insbesondere mit NMap können Sie nahezu jeden Aspekt des Scans steuern und verschiedene Arten von Port-Scans ausführen, um Ihre Anforderungen zu erfüllen.
Wenn Sie herausgefunden haben, welche Ports durch das Scannen Ihres eigenen Netzwerks als offen angezeigt werden, können Sie mit der Ermittlung beginnen, ob es tatsächlich ist notwendig für diese Ports von außerhalb Ihres Netzwerks zugänglich sein. Wenn sie nicht notwendig sind, sollten Sie sie herunterfahren oder blockieren. Wenn dies erforderlich ist, können Sie herausfinden, welche Arten von Sicherheitsanfälligkeiten und Exploits Ihr Netzwerk für Sie geöffnet hat, indem Sie auf diese Ports zugreifen und entsprechende Patches oder Schutzmaßnahmen anwenden, um Ihr Netzwerk so gut wie möglich zu schützen.
