Portscanner

mw-headline" id="Funktionsweise">Funktionsweise="mw-editsection-bracket">[Bearbeiten> | | | Quellcode bearbeiten]>

Mit einem Port-Scanner kann geprüft werden, welche Services ein mit TCP oder UDP funktionierendes Betriebssystem über das Internet-Protokoll bereitstellt. Mit dem Port-Scanner kann der Benutzer das Ansprechverhalten eines Gerätes selbst mit einem Schnüffler auswerten. Port-Scanner verfügen oft über zusätzliche Funktionen wie Betriebssystem und Service-Erkennung, obwohl sie nichts mit dem tatsächlichen Port-Scanning zu tun haben.

Die Portscanner verwenden den connect() Aufruf für den eigentlichen Scan. Bei erfolgreichem Aufruf des Systems ist der Anschluss offen. Dann wird die Verknüpfung mit close() umgehend wieder beendet. Falls die Kommunikation nicht hergestellt werden konnte, wird der Anschluss beendet. Die connect () Funktion ist auf nahezu jedem Rechner verfügbar, daher ist ein connect() Port-Scanner sehr portierbar.

Weil die Anbindung bei erfolgreichem Verbindungsaufbau vollständig erfolgt, wird sie in der Regel in den Protokolldateien der Services angezeigt. Der Host gibt Auskunft über den Port: Wenn er ein SYN/ACK-Paket schickt, den zweiten Teil des Drei-Wege-Handshake von TCP, nimmt der Port Verbindungen an und ist somit offen. Normalerweise reagiert der Quell-Host dann mit einem RST-Paket, um die Kommunikation wieder zu trennen (dies erfolgt normalerweise nicht durch den Port-Scanner, sondern durch das Betriebsystem, da kein offizieller Verbindungsaufbau durchgeführt wurde).

Wenn der Rechner ein sogenanntes RST-Packet schickt, wird der Anschluss zu. Wenn der Zielrechner überhaupt kein Datenpaket versendet, wird ein Datenpaketfilter nachgeschaltet. Auf der Netzwerkschicht trifft dies jedoch nicht zu: Firewall oder System zur Erkennung von Eindringlingen erkennen diese Form des Scans noch und können sie bei Bedarf mit der Methode des Ports Knocking sperren, bei der der Anschluss erst nach Erhalt einer vorkonfigurierten Paketfolge eröffnet wird.

Bei den meisten Quellsystemen sind auch Systemadministratorrechte erforderlich, da TCP-Pakete vom Port-Scanner manuell erstellt werden müssen. Bei geöffnetem Anschluss sollten die nachfolgenden Pakete nicht berücksichtigt werden, da sie nicht zu einer existierenden Leitung passen. Bei geschlossenem Anschluss sollte ein Reset-Paket versendet werden. Welches Flag eingestellt ist, richtet sich nach der Art des Scans: Dieser wird von einem Intermediär namens eines Zombies durchgeführt.

Das IPID (IP-Identifikationsnummer, ein Teil des IP-Headers) muss für den Port-Scanner vorhersagbar sein. Vorhersehbarkeit der IPID resultiert aus der Verwendung eines globalen Systemzählers für die IPID, der um einen gewissen Betrag gesteigert wird, wenn das Betriebssystem ein selbst generiertes Datenpaket sendet.

Außerdem ist es für die Berechenbarkeit von Bedeutung, dass der Zoom selbst während des Betriebs keine IPID-ändernden Datenpakete erzeugt, so dass das Gerät im Leerlauf ist - daher der Ausdruck Leerlauf. Überraschend ist, dass Routers als Zoom geeignet sind, da sie in der Regel nur über Datenpakete laufen (ihre IPID verändert sich nicht), aber nicht selbst am Netzverkehr teilhaben.

Der Port-Scanner benötigt für den aktuellen Suchlauf die momentane IP-Adresse des jeweiligen Senders. Zur Ermittlung der IP-Adresse wird z.B. eine TCP-Verbindungsanfrage (SYN) an ihn gesendet. Das Antwort-Paket beinhaltet die momentane IP-Adresse (2). Beim aktuellen Port-Scan sendet der Täter ein spooed SYN-Paket an das Target (3).

Die IP-Adresse des Zombie-Hosts wird vom Hacker als Quell-IP-Adresse festgelegt. Bei geöffnetem Anschluss wird vom Target ein SYN|ACK-Paket an den Zoom (4a) geschickt. Weil er keine Verbindungen aufgebaut hat, wird ein RST-Paket an das Target geschickt (4a). Angenommen, der Zoom erhöht die IPID immer um eins, wird dieser Rücksprung mit einer IPID + 1 an das gewünschte Zielverzeichnis geschickt.

Bei geschlossenem Anschluss schickt das Target ein sogenanntes RST-Packet an den Zoom (4b). Das wird vom Zoom nicht beachtet. Jetzt fordert der Täter die aktuelle IPID (5) wie am Anfang an. Wenn die IPID um 2 erhöht wurde (1 Packet zum Target + 1 Packet zum Angreifer), ist der Anschluss offen.

Wenn die IPID nur 1 erhöht ist (nur 1 Packet zum Angreifer), wird der Anschluss gesperrt (6).

Für einen FTP-Bounce-Scan braucht der Täter einen FTPServer, der den Befehl für den Zugriff auf die Ports erlaubt. Der Befehl PRORT ermöglicht es dem Täter, die IP-Adresse des Täters und einen zu scannenden Anschluss zu übermitteln. Falls der FTPServer eine Verknüpfung mit den übertragenen Dateien herstellen kann, wird auf dem Anschluss ein Service ausgeführt, über den der Datenserver den Täter benachrichtigt.

Für das Geschädigte ist der Täter nicht sichtbar, da nie eine unmittelbare Beziehung zwischen dem Geschädigten und dem Täter hergestellt werden muss. Bei den oben erwähnten zusätzlichen Funktionen wie OS-Fingerprinting (Erkennung des Betriebssystems) und Service-Erkennung, für die z.B. der Port-Scanner smap bekannt ist, handelt es sich nicht mehr um Port-Scans und deren Verwendung kann nicht nur wegen eines nicht völlig auszuschliessenden Crash-Risikos am Target problembehaftet sein.

Port-Scans sind kontrovers, da sie als erste Möglichkeit eines Eindringversuchs betrachtet werden können. Unübersichtlicher ist die rechtliche Situation bei Port-Scans gegen externe Rechner und Netze. Auch das SANS-Institut bekräftigt in einer Publikation den Konflikt der Portscans[1]. Port-Scanner gelten derzeit jedoch nicht als Computer-Programm zur Ausspähung von Informationen nach 202c SGB ( "Hackerparagraf"), da sie zwar keine Sicherheitsvorkehrungen überbrücken oder aber je nach Einzelfall als Angriffsvorbereitung dienen können und rechtlich gesehen werden.