Portscan Basics
Zur Navigation springen
Zur Suche springen
Port Scan
Allgemein
- Beim Portscanning werden die Ports eines Zielsystems auf vorhandene Dienste geprüft.
- Portscans gehen häufig tatsächlichen Angriffen voraus.
- Ein Portscan liefert Informationen über:
- Welche Ports offen sind
- Welcher Dienst dahinter läuft
- Welches Produkt und welche Version eingesetzt wird
- Welches Betriebssystem läuft
Port-Zustände
| Zustand | Bedeutung |
|---|---|
offen |
Ein Dienst wartet aktiv auf Verbindungen |
geschlossen |
Port ist erreichbar, aber kein Dienst lauscht |
gefiltert |
Paketfilter (Firewall) blockiert den Zugriff – Zustand unklar |
Scan-Methoden
TCP-connect-Scan
- Vollständiger 3-Way-Handshake wird durchgeführt.
- Einfachste Methode – kein Root nötig.
- Gut erkennbar im Log.
TCP-SYN-Scan (Stealth)
- Nur ein SYN-Paket wird gesendet.
- SYN/ACK als Antwort → Port offen.
- RST als Antwort → Port geschlossen.
- Verbindung wird nicht vollständig aufgebaut → schwerer zu erkennen.
UDP-Scan
- UDP-Pakete werden an Zielports gesendet.
- Keine Antwort → Port möglicherweise offen.
- ICMP Port Unreachable → Port geschlossen.
- UDP-Scans sind langsam und unzuverlässig.
- Für bessere Ergebnisse werden applikationsspezifische Nutzdaten mitgeschickt.
- Beispiel: DNS-Anfragen an Port 53 (named) liefern eine verwertbare Antwort.
- nmap nutzt eine Datenbank mit solchen Nutzdaten für bekannte UDP-Dienste.
![Bearbeiten](javascript:editDrawio("1145737043", "tcp-connect.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("526649750", "tcp-syn-scan.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1129735513", "udp-scan.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}