Ein Port-Scanner ist ein Tool zum Zuordnen von TCP- und UDP-Ports. In diesem Test identifiziert es den Status der Ports, ob sie geschlossen, lauschend oder offen sind. Sie können den Bereich der Ports angeben, die die Anwendung scannen soll, zum Beispiel: 25 bis 80. Im Allgemeinen werden Port-Scanner von böswilligen Personen verwendet, um offene Ports zu identifizieren und Eindringversuche zu planen. Es kann auch von Sicherheitsunternehmen zur Schwachstellenanalyse (Pen-Test) verwendet werden. Einer der beliebtesten Port-Scanner ist nmap.
Legitime Port-Scans
Portscanner sind wichtige Werkzeuge für Systemadministratoren und Computersicherheitsberater, da diese Scans ein objektives Bild über die Sicherheit von Netzwerken und einzelnen Computern liefern. Daher gibt es mehrere Unternehmen und Organisationen, die Netzwerk- und Port-Scanner bereitstellen oder Scans als Service über das Internet anbieten. Onlinedienstanbieter wie IRC-Anbieter verwenden Portscans auch, um festzustellen, ob Clients offene Proxys verwenden.
Illegale Port-Scans
Da der Port-Scanner gewissermaßen an Hintertüren rüttelt, ob irgendwo eine Tür offen steht, kann der Einsatz dieser Software in manchen Fällen auch als strafbare Vorbereitungshandlung angesehen werden. Dies gilt jedoch nur, wenn auch eine strafbare Handlung wie Computereinbruch vorliegt (§ 138ab Abs. 1 StGB; § 144a Abs. 1 BES-StGB), denn der Portscan selbst ist nicht strafbar.
Viele Port-Scans stammen jedoch nicht direkt von böswilligen Parteien, sondern von Würmern und Viren auf infizierten Computern, die auf diese Weise versuchen, Ziele für Infektionen zu identifizieren. Bei letzterer Form werden in der Regel nur bestimmte Ports gescannt.
TCP-Scan
Bei einem TCP-Scan wird über die Dienste des Betriebssystems versucht, eine Verbindung zu einem anderen Rechner herzustellen. Wenn die Verbindung hergestellt ist (nach einem Drei-Wege-Handshake), trennt der Scanner die Verbindung. Der Vorteil ist, dass der Bediener keine Systemrechte haben muss und die verwendete Software sehr einfach ist. Die Verwendung von Betriebssystemroutinen verhindert jedoch, dass der Benutzer verwendete TCP-Pakete manipuliert.
SYN-Scan
Ein SYN-Scan, auch halboffener Scan genannt, verwendet bestimmte, oft manipulierte TCP-Pakete. Nachdem das Ziel mit einem ACK auf die Anforderung zum Öffnen einer Verbindung (mit einem SYN-Paket) geantwortet hat, wird ein RST-Paket (Zurücksetzen) gesendet. Dadurch wird der Drei-Wege-Handshake nicht abgeschlossen und die Verbindung niemals vollständig geöffnet. Daher der Name.
ACK-Scan
Ein ACK-Scan ist ein ziemlich spezifisches Tool, das nicht die Verfügbarkeit eines Ports prüft, sondern die zugrunde liegende Firewall. Diese Form des Scannens basiert darauf, dass einfache Firewalls eingehende Verbindungen am SYN-Paket erkennen und bereits aufgebaute Verbindungen ignorieren. Durch einfaches Weglassen des SYN-Pakets und Vortäuschen einer bereits bestehenden Verbindung lassen sich Rückschlüsse auf die Regeln der jeweiligen Firewall ziehen. Dies funktioniert jedoch nur, wenn die Firewall-Software nicht zustandsbehaftet ist, also keine internen Informationen über den Verbindungszustand vorhält. Moderne Firewall-Software ist jedoch im Allgemeinen zustandsbehaftet, sodass diese Art des Scannens nicht mehr sehr nützlich ist.
TIN-Scannen
Da viele Firewalls das SYN-Paket verwenden, um eingehende Verbindungen zu erkennen und gegebenenfalls zu blockieren, wurde eine Alternative entwickelt, die auf einer anderen Behandlung des FIN-Pakets basiert, das im normalen Gebrauch das Ende einer TCP-Verbindung ankündigt. Geschlossene Ports antworten auf ein FIN mit einem RST-Paket, während offene Ports das Paket ignorieren. Diese Technik funktioniert jedoch nicht mit einigen Betriebssystemen, die den Unterschied zwischen offenen und geschlossenen Ports ignorieren und immer ein RST-Paket senden (z. B. verschiedene Versionen von Microsoft Windows), und mit Systemen, die mit Stateful Packet Filtering ausgestattet sind, wie z. B. Linux, das anzeigen kann paketweise oder ist Teil einer bereits bestehenden Verbindung.
