Was ist ein Portscan?

Ein Portscan ist ein Verfahren zur Überprüfung von Netzwerken, bei dem die offenen und geschlossenen Ports eines Systems ermittelt werden. Ports dienen in der Netzwerkkommunikation als Schnittstellen für den Datenaustausch zwischen Computern. Durch das Scannen dieser Ports kann festgestellt werden, welche Dienste aktiv sind und potenziell für Verbindungen bereitstehen. Dabei wird zwischen TCP- (Transmission Control Protocol) und UDP-Ports (User Datagram Protocol) unterschieden, die unterschiedliche Kommunikationsprotokolle verwenden.

Warum werden Portscans durchgeführt?

Portscans haben sowohl legitime als auch illegitime Anwendungsbereiche. Netzwerkadministratoren setzen sie zur Diagnose und Sicherheitsüberprüfung ein. Sie helfen dabei, Schwachstellen zu identifizieren und die Netzwerkstruktur zu analysieren. Auf der anderen Seite nutzen Angreifer Portscans, um potenzielle Angriffspunkte zu entdecken. Sowohl Red Teams (Angriffssimulation) als auch Blue Teams (Verteidigung) verwenden Portscans, um die Sicherheit von Systemen zu testen.

Wie funktionieren Portscanner?

Portscanner sind spezialisierte Programme, die systematisch verschiedene Ports eines Zielsystems ansprechen. Sie senden gezielte Pakete und analysieren die Antworten, um den Status jedes Ports zu bestimmen. Ein Port kann als offen, geschlossen oder gefiltert klassifiziert werden:

Offen: Der Port akzeptiert Verbindungen und reagiert auf Anfragen.
Geschlossen: Der Port ist erreichbar, lehnt jedoch Verbindungen ab.
Gefiltert: Der Port reagiert nicht, möglicherweise aufgrund einer Firewall oder eines Filters.

Welche Portscanning-Techniken gibt es?

Es gibt verschiedene Techniken, um Ports zu scannen:

  1. Pingscan
    Verwendung von ICMP-Echoanforderungen zur Erkennung aktiver Hosts.
  2. TCP-halboffener Scan
    Senden von SYN-Paketen ohne vollständigen Verbindungsaufbau.
  3. TCP-Connect-Scan
    Vollständiger TCP-Dreiwege-Handshake zur Portüberprüfung.
  4. UDP-Scan
    Scannen von UDP-Ports durch Senden von UDP-Paketen.
  5. Stealth-Scan
    Nutzung spezieller TCP-Flags (FIN, XMAS, NULL) zur Umgehung von Firewalls.
  6. Weitere Techniken
    TCP-ACK-Scan, TCP-Window-Scan, benutzerdefinierte TCP-Flags.

Welche Tools werden für Portscans verwendet?

Für Portscans stehen verschiedene Tools zur Verfügung:

  1. Nmap
    Das bekannteste Tool - es bietet neben einem Portscanner auch Vulnerability Scanning an.
  2. Netcat
    Ein flexibles Werkzeug für Portscans und den Aufbau einfacher Verbindungen.
  3. masscan
    Bekanntes und hochperformantes Tool, um viele Hosts zu prüfen - schnell, aber teilweise nicht genau.
  4. naabu
    Gotool um schnell und relativ genau offene Ports zu finden, keine Service-Scans.

Wer nutzt Portscans und warum?

Im Allgemeinen kann man sagen, dass IT-Experten Portscanner verwenden. IT-Administratoren analysieren damit ihre Netzwerke und suchen nach offenen Ports. Sicherheitsexperten suchen nach Ports, um Dienste zu finden, die ggf. verwundbar sind und die man ausnutzen könnte. Gleiches gilt für Black Hat Hacker - auch sie suchen mittels Portscans nach zusätzlicher Angriffsoberfläche.

Tools, wie nmap, sind fester Bestandteil von eASM, wie etwa Argos (siehe External Attack Surface Management). Sie werden dazu verwendet um die Angriffsfläche eines Unternehmens zu identifizieren und zu reduzieren.

Beispiele für die Ausführung mit nmap

Anwendungsfall: Du willst schnell überprüfen, welche Hosts in einem Netzwerk online sind und welche gängigen Ports geöffnet sind.

nmap -sn 192.168.1.0/24

Anwendungsfall: Du möchtest detaillierte Informationen über die offenen Ports und die darauf laufenden Dienste eines spezifischen Hosts.

nmap -sV -p 1-65535 192.168.1.100

Anwendungsfall: Du möchtest eine tiefere Analyse eines Netzwerks durchführen, um herauszufinden, welche Betriebssysteme auf den Hosts laufen, welche Ports geöffnet sind und ob Firewalls aktiv sind.

sudo nmap -O -sS -sU -p T:80,443,U:53 192.168.1.0/24

Anwendungsfall: Du möchtest so viele Informationen wie möglich über einen Host oder ein Netzwerk sammeln, inklusive Ports, Services, Betriebssystemen und möglichen Schwachstellen.

sudo nmap -A -T4 192.168.1.100

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Portscan? Schreib uns!

Damian Strobel
Wir können Ihre Server nach offenen Ports scannen und Ihnen dabei helfen, diese zu schließen.