4
Was geschieht bei einem Portscan?
Guten Abend zusammen,
Da ich mich in letzter Zeit mehr mit TCP/IP und UDP auseinandersetze,
habe ich in der Hinsicht eine Frage:
Was genau geschieht eigentlich bei einem Portscan?
Das jeder einzelne Port eines anderen Rechners geprüft wird,
welche Dienste er zur Verfügung stellt, weiß ich.
Mir sind nur solch Sachen wie "Handshake" etc. zu Ohren gekommen.
Wer kann mir ein wenig Licht verschaffen?
Besten Dank!
Da ich mich in letzter Zeit mehr mit TCP/IP und UDP auseinandersetze,
habe ich in der Hinsicht eine Frage:
Was genau geschieht eigentlich bei einem Portscan?
Das jeder einzelne Port eines anderen Rechners geprüft wird,
welche Dienste er zur Verfügung stellt, weiß ich.
Mir sind nur solch Sachen wie "Handshake" etc. zu Ohren gekommen.
Wer kann mir ein wenig Licht verschaffen?
Besten Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28098
Url: https://administrator.de/contentid/28098
Printed on: April 26, 2024 at 21:04 o'clock
4 Comments
Latest comment
HAllo,
hiezu biete ich Dir mal zwei Links an:
http://www.port-scan.de/lynx/faq.html
http://de.wikipedia.org/wiki/Portscan
und:
Was ist ein Portscan ?
Zur Verbindung einiger oder mehrerer Computer, mit und untereinander, verwendet man Netzwerke, die prinzipiell aus zwei Bestandteilen bestehen. Der Hardware z.B. Modem, Netzwerkkarten, Router, Multiplexer, usw. und der zugehörigen Software wie Protokolle, Server- Dämonen, Clientprogramme. Wer sich dafür interessiert, sollte sich in diesem Zusammenhang mit "Schichtenmodellen" auseinander setzen. Hier führt das leider zu weit. Wir untersuchen Systeme ausschließlich auf die von ihm angebotene Serverdienste, d.h. Dienste die das System gewollt oder auch ungewollt im Internet über das Internetprotokoll [1] anbietet. Da ein Computer zeitgleich mehrere unterschiedliche Serverdienste anbieten soll, nutzt das IP-Protokoll, so genannte Ports. So kann ein Rechner zugleich als Webserver (Port 80) und Mail-u. POP-Server (Port 25/110) dienen. Insgesamt sind 65535 Ports definiert, die sowohl auf TCP und UDP zur Verfügung stehen. Nur der Vollständigkeit halber, und um die Sache noch etwas komplexer zu gestalten, gibt es in der Familie der IP-Protokolle das ICMP-Protokoll. Eigentlich ist das noch nicht alles, aber es sollte ausreichen, um den Sachverhalt zu verstehen. Wenn ein Rechner, einen Serverdienst für andere zur Verfügung stellt, öffnet er eben solch einen TCP/IP- oder UDP-Port, oder auch beides oder mehrere. Natürlich muss ein Webserver den Port 80 geöffnet haben, aber muss ein Internetnutzer, um zu surfen oder Mails zu senden oder empfangen einen IP-Port geöffnet haben ? Nein, den die Clientsoftware (Browser o. Mailprogramm) baut über den definierten Port eine Verbindung zu dem entsprechenden Server auf. Eben das simuliert ein Portscanner und nutzt dazu unterschiedliche Techniken (connect, stealth, Xmas, null, o.a.) um zu korrekten Ergebnissen zu kommen.
Für was brauche ich einen Portscan ?
Wenn auf einem System ein Server, Dienste anbieten soll, muss natürlich ein oder mehrere Ports geöffnet werden. Was ist aber mit den Ports, die das System geöffnet hat, weil es falsch konfiguriert wurde oder weil der Hersteller des Systems es so wünscht. Meist weiß der Nutzer eines Systems nicht welche Ports geöffnet sind, und welche Gefahren ihm dadurch drohen. Die Gefahr besteht darin, dass ein entfernter Angreifer den Serverdienst nutzt um in das System einzudringen, um hier nach Daten und Informationen zu suchen, oder das System zu nutzen, um sich weiter unbemerkt durch das Netzwerk zu bewegen. Oder der Serverdienst, insofern anfällig, kann von einem Angreifer terminiert werden oder gar das ganze System zum Absturz gebracht werden. Wie auch immer, es ist meist mehr als nur unangenehm und kann ein Vermögen kosten, wenn ein Cracker tatsächlich an sensible Daten gerät.
Quelle: www.port-scan.de
mfg
PLONK
hiezu biete ich Dir mal zwei Links an:
http://www.port-scan.de/lynx/faq.html
http://de.wikipedia.org/wiki/Portscan
und:
Was ist ein Portscan ?
Zur Verbindung einiger oder mehrerer Computer, mit und untereinander, verwendet man Netzwerke, die prinzipiell aus zwei Bestandteilen bestehen. Der Hardware z.B. Modem, Netzwerkkarten, Router, Multiplexer, usw. und der zugehörigen Software wie Protokolle, Server- Dämonen, Clientprogramme. Wer sich dafür interessiert, sollte sich in diesem Zusammenhang mit "Schichtenmodellen" auseinander setzen. Hier führt das leider zu weit. Wir untersuchen Systeme ausschließlich auf die von ihm angebotene Serverdienste, d.h. Dienste die das System gewollt oder auch ungewollt im Internet über das Internetprotokoll [1] anbietet. Da ein Computer zeitgleich mehrere unterschiedliche Serverdienste anbieten soll, nutzt das IP-Protokoll, so genannte Ports. So kann ein Rechner zugleich als Webserver (Port 80) und Mail-u. POP-Server (Port 25/110) dienen. Insgesamt sind 65535 Ports definiert, die sowohl auf TCP und UDP zur Verfügung stehen. Nur der Vollständigkeit halber, und um die Sache noch etwas komplexer zu gestalten, gibt es in der Familie der IP-Protokolle das ICMP-Protokoll. Eigentlich ist das noch nicht alles, aber es sollte ausreichen, um den Sachverhalt zu verstehen. Wenn ein Rechner, einen Serverdienst für andere zur Verfügung stellt, öffnet er eben solch einen TCP/IP- oder UDP-Port, oder auch beides oder mehrere. Natürlich muss ein Webserver den Port 80 geöffnet haben, aber muss ein Internetnutzer, um zu surfen oder Mails zu senden oder empfangen einen IP-Port geöffnet haben ? Nein, den die Clientsoftware (Browser o. Mailprogramm) baut über den definierten Port eine Verbindung zu dem entsprechenden Server auf. Eben das simuliert ein Portscanner und nutzt dazu unterschiedliche Techniken (connect, stealth, Xmas, null, o.a.) um zu korrekten Ergebnissen zu kommen.
Für was brauche ich einen Portscan ?
Wenn auf einem System ein Server, Dienste anbieten soll, muss natürlich ein oder mehrere Ports geöffnet werden. Was ist aber mit den Ports, die das System geöffnet hat, weil es falsch konfiguriert wurde oder weil der Hersteller des Systems es so wünscht. Meist weiß der Nutzer eines Systems nicht welche Ports geöffnet sind, und welche Gefahren ihm dadurch drohen. Die Gefahr besteht darin, dass ein entfernter Angreifer den Serverdienst nutzt um in das System einzudringen, um hier nach Daten und Informationen zu suchen, oder das System zu nutzen, um sich weiter unbemerkt durch das Netzwerk zu bewegen. Oder der Serverdienst, insofern anfällig, kann von einem Angreifer terminiert werden oder gar das ganze System zum Absturz gebracht werden. Wie auch immer, es ist meist mehr als nur unangenehm und kann ein Vermögen kosten, wenn ein Cracker tatsächlich an sensible Daten gerät.
Quelle: www.port-scan.de
mfg
PLONK
Das jeder einzelne Port eines anderen
Rechners geprüft wird,
welche Dienste er zur Verfügung stellt,
weiß ich.
Rechners geprüft wird,
welche Dienste er zur Verfügung stellt,
weiß ich.
Dann weisst du doch was ein Portscan ist.
Allerings wird da nicht immer der Dienst überprüft, der hinter einem offen Port steht.
Es sollte auch bekannt ein, welcher Dienst zu welchen Port gehört.
Hallo aha,
nimm dir etwas Zeit und suche bei google nach
"three-way-handshake" und "half-open scan"
Nach dem Studium der ersten Links weißt du schon ziemlich gut Bescheid.
Gruß Colonius
nimm dir etwas Zeit und suche bei google nach
"three-way-handshake" und "half-open scan"
Nach dem Studium der ersten Links weißt du schon ziemlich gut Bescheid.
Gruß Colonius
Ein Portscan prüft auf einem Host, ob ein oderer mehrere Ports geöffnet sind. Dies ist auf vielfältige Weise möglich.
Die einfachste Form ist, einen Verbindungsaufbau zu dem Zielhost auf einem Port durchzuführen. Antwortet der Zielhost auf eine Anfrage, ist der entsprechende Port geöffnet.
Bei TCP/IP wird bei einem Verbindungsaufbau ein sog. Three-Way-Handschake durchgeführt.
Zuerst schickt ein Verbindungspartner ein Paket mit einem gesetzten SYN-Flag. Der Zielrechner bekommt die Anfrage und entscheidet, ob er den Verbindungsaufbau zulässt. Bei einer positiven Entscheidung schickt der Zielhost ein Paket an den anfragenden Rechner zurück und setzt in diesem das SYN-Flag und das ACK-Flag. Wenn der anfragende Rechner dieses Paket erhält, antwortet er abschließend mit einem ACK-Flag.
Beim Verbindungsaufbau wird auch gleichzeitig eine sog. erste Sequence-Nr. ausgehandelt, ab der die folgenden Pakete der Verbindung gezählt werden sollen.
Zur Erklärung: Bei einer TCP/IP-Verbindung werden alle Pakete numeriert. So wird beim Ausbleiben eines Paketes erkannt, dass dieses noch einmal angefordert werden muss. Außerdem können so Pakete, die nicht in der richtigen Reihenfolge ankommen nachträglich noch sortiert werden.
UDP ist TCP sehr ähnlich, allerdings wird UDP als "verbindungsloses" Protokoll bezeichnet. Hier werden die Pakete nämlich nicht nummeriert und so abgearbeitet, wie sie ankommen. So wird für das Abarbeiten viel weniger Overhead produziert. Verwendet wird UDP zum Beispiel bei Internet-Telefonie oder Streams, bei denen ruhig mal Pakete verloren werden können, ohne gleich zu einem Verbindungsabbruch führen zu müssen.
Ich hoffe, ich konnte wenigstens ein Streichholz im Dunkeln anzünden ;) - Die Thematik ist sehr komplex.
Gruss
Stefan
Die einfachste Form ist, einen Verbindungsaufbau zu dem Zielhost auf einem Port durchzuführen. Antwortet der Zielhost auf eine Anfrage, ist der entsprechende Port geöffnet.
Bei TCP/IP wird bei einem Verbindungsaufbau ein sog. Three-Way-Handschake durchgeführt.
Zuerst schickt ein Verbindungspartner ein Paket mit einem gesetzten SYN-Flag. Der Zielrechner bekommt die Anfrage und entscheidet, ob er den Verbindungsaufbau zulässt. Bei einer positiven Entscheidung schickt der Zielhost ein Paket an den anfragenden Rechner zurück und setzt in diesem das SYN-Flag und das ACK-Flag. Wenn der anfragende Rechner dieses Paket erhält, antwortet er abschließend mit einem ACK-Flag.
Beim Verbindungsaufbau wird auch gleichzeitig eine sog. erste Sequence-Nr. ausgehandelt, ab der die folgenden Pakete der Verbindung gezählt werden sollen.
Zur Erklärung: Bei einer TCP/IP-Verbindung werden alle Pakete numeriert. So wird beim Ausbleiben eines Paketes erkannt, dass dieses noch einmal angefordert werden muss. Außerdem können so Pakete, die nicht in der richtigen Reihenfolge ankommen nachträglich noch sortiert werden.
UDP ist TCP sehr ähnlich, allerdings wird UDP als "verbindungsloses" Protokoll bezeichnet. Hier werden die Pakete nämlich nicht nummeriert und so abgearbeitet, wie sie ankommen. So wird für das Abarbeiten viel weniger Overhead produziert. Verwendet wird UDP zum Beispiel bei Internet-Telefonie oder Streams, bei denen ruhig mal Pakete verloren werden können, ohne gleich zu einem Verbindungsabbruch führen zu müssen.
Ich hoffe, ich konnte wenigstens ein Streichholz im Dunkeln anzünden ;) - Die Thematik ist sehr komplex.
Gruss
Stefan