Een poortscanner is een hulpmiddel voor het in kaart brengen van TCP- en UDP-poorten. In deze test identificeert het de status van de poorten, of ze nu gesloten, luisterend of open zijn. U kunt het bereik van poorten specificeren dat de toepassing zal scannen, bijvoorbeeld: 25 tot 80. Over het algemeen worden poortscanners gebruikt door kwaadwillenden om open poorten te identificeren en inbraken te plannen. Het kan ook door beveiligingsbedrijven worden gebruikt voor kwetsbaarheidsanalyse (pentest). Een van de meest populaire poortscanners is nmap.
Legitieme poortscans
Poortscanners zijn belangrijke hulpmiddelen voor systeembeheerders en computerbeveiligingsadviseurs omdat deze scans een objectief beeld geven van de beveiliging van netwerken en individuele computers. Als gevolg hiervan zijn er verschillende bedrijven en organisaties die netwerk- en poortscanners leveren of scans aanbieden als een service via internet. Online serviceproviders, zoals IRC-providers, gebruiken ook poortscans om te bepalen of clients open proxy’s gebruiken.
Illegale poortscans
Omdat de poortscanner effectief achterdeuren rammelt om te zien of er ergens een deur open staat, kan het gebruik van deze software in sommige gevallen ook als een strafbare voorbereidende handeling worden gezien. Dit geldt echter alleen als er ook sprake is van een strafbaar feit als computerinbraak (art. 138ab lid 1 Sr; art. 144a lid 1 Sr), omdat de havenscan zelf niet strafbaar is.
Veel poortscans zijn echter niet rechtstreeks afkomstig van kwaadwillenden, maar van wormen en virussen op geïnfecteerde computers, die op deze manier doelwitten voor infecties proberen te identificeren. In de laatste vorm worden meestal alleen specifieke poorten gescand.
TCP-scan
Bij een TCP-scan worden de diensten van het besturingssysteem gebruikt om te proberen verbinding te maken met een andere computer. Wanneer de verbinding tot stand is gebracht (na een handshake in drie richtingen), verbreekt de scanner de verbinding. Het voordeel is dat de operator geen systeemrechten hoeft te hebben en de gebruikte software zeer eenvoudig is. Het gebruik van routines van het besturingssysteem verhindert echter dat de gebruiker gebruikte TCP-pakketten manipuleert.
SYN-scan
Een SYN-scan, ook wel semi-open scan genoemd, maakt gebruik van specifieke, vaak gemanipuleerde TCP-pakketten. Nadat het doel met een ACK heeft gereageerd op het verzoek om een verbinding te openen (met een SYN-pakket), wordt een RST (reset) pakket verzonden. Hiermee wordt de three-way handshake niet voltooid en wordt de verbinding nooit volledig geopend. Vandaar de naam.
ACK-scan
Een ACK-scan is een vrij specifieke tool die niet de beschikbaarheid van een poort controleert, maar de onderliggende firewall. Deze vorm van scannen is gebaseerd op het feit dat eenvoudige firewalls inkomende verbindingen herkennen aan het SYN-pakket en reeds gemaakte verbindingen negeren. Door simpelweg het SYN-pakket weg te laten en te doen alsof er al een verbinding is, kunnen conclusies over de regels van de betreffende firewall worden opgehaald. Dit werkt echter alleen als de firewallsoftware niet stateful is, dwz geen interne informatie over de status van verbindingen bijhoudt. Moderne firewallsoftware is echter over het algemeen stateful, dus deze manier van scannen is niet langer erg nuttig.
FIN-scannen
Omdat veel firewalls het SYN-pakket gebruiken om inkomende verbindingen te detecteren en indien nodig te blokkeren, is een alternatief bedacht op basis van een andere behandeling van het FIN-pakket, dat bij normaal gebruik het einde van een TCP-verbinding aankondigt. Gesloten poorten reageren op een FIN met een RST-pakket, terwijl open poorten het pakket negeren. Deze techniek werkt echter niet bij sommige besturingssystemen die het verschil tussen open en gesloten poorten negeren en altijd een RST-pakket verzenden (zoals verschillende versies van Microsoft Windows) en systemen die zijn uitgerust met stateful pakketfiltering, zoals Linux die pakket-voor-pakket of maakt deel uit van een reeds bestaande verbinding.
