Was ist ein Port-Scan-Angriff auf einen Computer?

Internet-Netzwerke verwenden das Konzept von Ports, um verschiedene Programme oder Dienste zu unterscheiden, die sich an derselben IP-Adresse befinden. Ein Computer könnte beispielsweise gleichzeitig einen Webserver und einen FTP-Server über die Ports 80 bzw. 21 ausführen. Ein Port-Scan-Angriff tritt auf, wenn ein Computer die Ports eines anderen Computers scannt, um festzustellen, welche Dienste auf dem Remote-Computer zum Zwecke der Ausbeutung ausgeführt werden.

Linearer Port-Scan

Bei einem linearen Port-Scan wird jeder Port eines Systems gescannt. Internet Protocol-Ports verwenden ein 16-Bit-Nummerierungssystem, was bedeutet, dass insgesamt 65.536 Ports an einer einzigen IP-Adresse vorhanden sein können. Ein Liner-Port-Scan scannt alle diese Ports, um zu sehen, welche geöffnet, geschlossen oder versteckt sind.

Zufälliger Port-Scan

Ein zufälliger Port-Scan ähnelt im Konzept einem linearen Port-Scan. Bei einem zufälligen Port-Scan wird jedoch nur eine bestimmte Anzahl zufälliger Ports gescannt und nicht alle verfügbaren Portnummern. Der Grund dafür ist, den Scan zu beschleunigen, insbesondere wenn der Angreifer mehrere Computer scannt, um Schwachstellen zu finden. Wenn bei einem zufälligen Port-Scan festgestellt wird, dass einer der gescannten Ports offen ist, untersucht der Angreifer diesen Computer weiter.

Scan bekannter Service-Ports

Viele Dienste laufen auf etablierten "Well-Known"-Ports, wie den Ports 25 und 110 für E-Mail, 21 für FTP und 80 für das Internet. Ein Port-Scan, der nur auf bekannte Ports abzielt, ähnelt im Konzept einem zufälligen Port-Scan, außer dass die Port-Nummern vordefiniert und nicht zufällig sind. Wenn festgestellt wird, dass einer der getesteten Ports offen ist, untersucht der Angreifer wie bei einem zufälligen Port-Scan den Computer weiter.

Aufklärung

Nachdem die angegebene Methode zum Port-Scanning abgeschlossen ist, sieht sich der Angreifer die Ergebnisse an und untersucht die Computer mit offenen Ports weiter. Wenn festgestellt wird, dass ein Port offen ist, bedeutet dies, dass auf diesem Port ein Dienst ausgeführt wird, und es besteht die Möglichkeit, dass der Angreifer diesen ausnutzt, um Fernzugriff auf das Computersystem zu erhalten. Mit einem geeigneten Zugriffs-Exploit könnte ein Angreifer möglicherweise die Kontrolle über das Computersystem erlangen.