Port-Scan-Tool

Port-Scanning-Tools sind Tools zur Erkennung offener Ports auf Servern oder Hosts. Sie werden häufig von Computeradministratoren zur Bestätigung von Sicherheitsrichtlinien und von Angreifern zur Identifizierung betriebsbereiter Netzwerkdienste auf dem Zielhost verwendet.

Port-Scanner bezieht sich auf ein Tool, das zum Erkennen offener Ports auf einem Server oder Host verwendet wird.

wird häufig von Computeradministratoren zur Bestätigung von Sicherheitsrichtlinien und von Angreifern zur Identifizierung betriebsbereiter Netzwerkdienste auf dem Zielhost verwendet. (Empfohlenes Lernen: PHP-Video-Tutorial)

Die Definition von Port-Scannen besteht darin, dass der Client entsprechende Anfragen an einen bestimmten Bereich von Server-Ports sendet, um die verwendbaren Ports zu bestätigen. Obwohl es sich hierbei nicht um eine bösartige Netzwerkaktivität an sich handelt, ist es für Netzwerkangreifer dennoch ein wichtiges Mittel, um den Ziel-Hostdienst zu erkennen und die bekannten Schwachstellen des Dienstes auszunutzen. Der Hauptzweck des Port-Scannings besteht immer noch darin, die Verfügbarkeit eines Dienstes auf einem Remote-Computer zu bestätigen.

Das Scannen mehrerer Hosts, um einen bestimmten Port zu erhalten, wird als Port-Sweep (Portsweep) bezeichnet, um bestimmte Dienste zu erhalten. Beispielsweise durchsucht ein auf SQL-Diensten basierender Computerwurm denselben Port auf einer großen Anzahl von Hosts, um eine TCP-Verbindung auf Port 1433 herzustellen.

Typ

TCP-Scanning

Das einfachste Port-Scanning-Tool nutzt die nativen Netzwerkfunktionen des Betriebssystems und wird normalerweise als verwendet Alternative Option zum SYN-Scan. Nmap nennt diesen Modus einen Verbindungsscan, da er einen Unix-ähnlichen connect()-Befehl verwendet. Wenn der Port geöffnet ist, kann das Betriebssystem den TCP-Drei-Wege-Handshake abschließen. Anschließend schließt das Port-Scan-Tool die neu hergestellte Verbindung sofort, um Denial-of-Service-Angriffe zu verhindern. Der Vorteil dieses Scanmodus besteht darin, dass keine besonderen Berechtigungen des Benutzers erforderlich sind. Mit den nativen Netzwerkfunktionen des Betriebssystems kann jedoch keine Steuerung auf niedriger Ebene erreicht werden, weshalb diese Scanmethode nicht beliebt ist. Und TCP-Scanning ist leicht zu erkennen, insbesondere als Mittel zum Port-Sweep: Diese Dienste protokollieren die IP-Adresse des Absenders, und Systeme zur Erkennung von Eindringlingen können Warnungen auslösen. [1]

SYN-Scan

SYN-Scan ist eine andere Art von TCP-Scan. Port-Scanning-Tools nutzen nicht die nativen Netzwerkfunktionen des Betriebssystems, sondern generieren und versenden selbst IP-Pakete und überwachen deren Antworten. Dieser Scanmodus wird als „halboffenes Scannen“ bezeichnet, da nie eine vollständige TCP-Verbindung hergestellt wird. Das Port-Scan-Tool generiert ein SYN-Paket. Wenn der Zielport geöffnet ist, wird ein SYN-ACK-Paket zurückgegeben. Das Scan-Ende antwortet mit einem RST-Paket und schließt dann die Verbindung, bevor der Handshake abgeschlossen ist. Wenn der Port geschlossen ist, aber keine Filterung verwendet wird, sollte der Zielport weiterhin RST-Pakete zurückgeben.

Diese grobe Methode der Netzwerkausnutzung hat mehrere Vorteile: Sie gibt dem Scan-Tool die volle Kontrolle darüber, wie lange Pakete gesendet werden und wie lange es auf Antworten wartet, was eine detailliertere Analyse der Antworten ermöglicht. Es gibt einige Debatten darüber, welche Methode zum Scannen eines Zielhosts weniger aufdringlich ist, aber das SYN-Scannen hat den Vorteil, dass nie eine vollständige Verbindung hergestellt wird. Allerdings können RST-Pakete insbesondere bei einfachen Netzwerkgeräten wie Druckern zu einer Netzwerküberlastung führen.

UDP-Scanning

UDP-Scanning ist ebenfalls möglich, allerdings mit einigen technischen Herausforderungen. UDP ist ein verbindungsloses Protokoll, daher gibt es kein Paket, das TCP SYN entspricht. Wenn jedoch ein UDP-Paket an einen Port gesendet wird, der nicht geöffnet ist, antwortet das Zielsystem mit der Meldung „ICMP-Port nicht erreichbar“. Die meisten UDP-Port-Scanner verwenden diese Scan-Methode und schließen anhand der fehlenden Antwort ab, ob der Port geöffnet ist. Wenn der Port jedoch durch eine Firewall blockiert ist, meldet diese Methode fälschlicherweise, dass der Port geöffnet ist. Wenn Meldungen über „Port nicht erreichbar“ blockiert werden, werden alle Ports als geöffnet angezeigt. Auch diese Methode unterliegt der ICMP-Ratenbegrenzung.

Ein anderer Ansatz besteht darin, anwendungsspezifische UDP-Pakete zu senden, in der Hoffnung, eine Antwort auf Anwendungsebene zu generieren. Wenn beispielsweise ein DNS-Server vorhanden ist, führt das Senden einer DNS-Anfrage an Port 53 zu einer Antwort. Diese Methode ist zuverlässiger bei der Identifizierung offener Ports. Es ist jedoch auf das Port-Scannen beschränkt, wenn anwendungsspezifische Prüfpakete verfügbar sind. Einige Tools (z. B. NMAP) verfügen typischerweise über weniger als 20 Sonden für UDP-Dienste, während einige kommerzielle Tools (z. B. NESUS) bis zu 70 haben. In manchen Fällen kann ein Dienst einen Port überwachen, aber so konfiguriert sein, dass er nicht auf bestimmte Testpakete reagiert.

Weitere technische Artikel zum Thema PHP finden Sie in der Spalte PHP-Grafik-Tutorial, um mehr darüber zu erfahren!

Das obige ist der detaillierte Inhalt vonPort-Scan-Tool. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!