Netzwerkangriffe mit Portscannern

Teil 3: Netzwerkangriffe: Portscanner

Das Scannen von Ports im Internet ist nicht ungefährlich. Um sich vor Portscans ihrer Systeme zu schützen, installieren viele Firmen und Institutionen auf ihren Web-Servern Intrusion-Detection-Systeme und Firewalls. Diese Programme bieten meist eine Einstellung, mit der sie automatisch auf einen Scan der Ports reagieren können. Stellen sie einen Portscan fest, wird die IP-Adresse des Absenders blockiert, sodass von dessen Rechner keine IP-Pakete mehr angenommen werden. Der Server ist also für diesen Benutzer auch auf legalem Wege nicht mehr zu erreichen. Auch Personal Firewalls wie Norton Internet Security oder die McAfee Firewall bieten eine entsprechende Funktion an.

Um nicht erkannt zu werden, wenden Hacker daher beim Scannen von Ports Verschleierungstechniken an. Mit einigen Portscannern können Sie Anfragen an die Ports nicht in schneller Folge hintereinander oder parallel schicken, sondern in Abständen von einigen Minuten. Das dauert länger, die Gefahr, über die log-Dateien oder durch eine Firewall entdeckt zu werden, ist aber geringer.

Zum zweiten verschleiern Hacker ihre Angriffe oftmals auch durch IP-Spoofing: eine Technik, mit der sich die IP-Nummer des Absenders eines Datenpakets fälschen lässt. Der Host-Rechner kann den tatsächlichen Absender nicht erkennen.

Hacker haben auch noch andere Methoden. Sie schicken beispielsweise Portscans von 1000 verschiedenen Adressen los, von denen 999 gefälscht sind. Nur eine Adresse entspricht der des echten Clients. Auf dem Host laufen in einem solchen Fall die log-Dateien über, der Systemadministrator kann die falschen vom echten Portscan nicht unterscheiden. Er sieht zwar, dass ein Angriffsversuch erfolgt, kann jedoch nicht feststellen, von wo er kommt.

Die beschriebene Firewall-Funktion für die automatische Sperrung der Absenderadresse erweist sich dann als Pferdefuß. Plötzlich sind 999 "unbescholtene" IP-Adressen nicht mehr erreichbar, darunter vielleicht für die Firmenkommunikation wichtige Server-Adressen.

Zum dritten bieten einige Portscanner einen Stealth-Modus an. Die Programme führen dabei einen fehlerhaften oder unvollständigen TCP-Handshake durch, um nicht entdeckt zu werden.

Mit einem TCP-Handshake nehmen Systeme in einem TCP-Netzwerk Verbindung auf: Der Host, der die Verbindung wünscht, schickt ein TCP-Paket an das Zielsystem. In diesem Paket ist das SYN-Bit (Synchronize-Bit) eingeschaltet. Damit weiß das Zielsystem, dass es eine Verbindung aufbauen soll.

Das Zielsystem schickt daraufhin eine Antwort, in der ebenfalls das SYN- und das ACK-Bit (Acknowledge-Bit) aktiv sind. Daran erkennt der Host, dass er eine Verbindung aufbauen kann, und sendet ein ACK-Bit. Damit steht die Verbindung. Um sie zu beenden, sendet einer der beiden Rechner statt des SYN- ein FIN-Bit (Finalize-Bit).

Im Stealth-Modus arbeiten die Portscanner mit dem SYN oder dem FIN-TCP-Scanning:

  • Beim SYN-TCP-Scanning beenden die Programme die Kommunikation, sobald das Zielsystem das ACK-Bit sendet. Es kommt keine TCP-Verbindung zu Stande, ergo erfolgt auch kein Eintrag in den log-Dateien.
  • Das FIN-TCP-Scanning nutzt einen Fehler in der TCP-Implementation vieler Betriebssysteme aus. Dabei schickt der Portscanner ein FIN-Paket ohne ACK- oder SYN-Bit ans Zielsystem. Die korrekte Reaktion wäre, darauf nicht zu antworten. Die geschlossenen Ports von Windows und einigen anderen Betriebssystemen wie HP/UX geben darauf jedoch ein RESET-Paket als Antwort zurück. Auch dieser Vorgang wird nicht protokolliert. Mittlerweile gibt es jedoch professionelle Firewall-Systeme, die auch solche Stealth-Angriffe erkennen.

    Schutz und Hilfe

    Viele Hacker scannen Tausende von mehr oder weniger zufällig ausgesuchten IP-Adressen auf offene Ports. Dabei sind häufig auch private PCs betroffen. Wappnen Sie sich davor:

    • Überprüfen Sie Ihr System mit einem Portscanner. Das ist ein guter Anfang. Gehen Sie ins Internet, und rufen Sie das Programm winipcfg.exe auf (unter Windows 9x), bzw. geben Sie in der Eingabeaufforderung von NT/2000/XP den Befehl ipconfig ein. Damit erfahren Sie Ihre aktuelle IP-Nummer im Internet.
    • Wählen Sie sich mit einem zweiten Rechner ins Netz ein, und lassen Sie den Portscanner diese IP-Nummer auf offene Ports überprüfen. Damit können Sie auch einige Trojaner-Viren erkennen. Back Orifice und ähnliche Programme benutzen Ports im vier- oder fünfstelligen Bereich, um Kontakt mit ihren Versendern aufzunehmen. Grundsätzlich sollten Sie immer misstrauisch werden, wenn ein Port über 1023 offen steht.
    • Nutzen Sie eine Personal Firewall. Sie schließt nicht nur offene Ports, sondern meldet auch Angriffsversuche.
    • Greifen Sie auf kostenlose Internet-Dienste zurück, die Ihren Computer auf Schwachstellen überprüfen. Der bekannteste wird von der Gibson Research Corporation zur Verfügung gestellt.

Mehr zum Thema

Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Weihnachts-Angebote-Woche, Netgear-NAS, 57 Prozent auf Heimkino-Produkte und mehr.
Tipps zum leisen PC
Tipps und Tricks

Die Komponenten eines PCs erzeugen Hitze. Lüfter sorgen meist für eine lästige Geräuschkulisse. Mit unseren Tricks wird Ihr PC flüsterleise.
SSD Mythen Tipps
Solid State Disk

SSD-Tuning - was ist wahr, was ist falsch? Wir verraten, welche SSD-Mythen Sie vergessen können und welche Tipps wirklich helfen.
Urlaubsbilder
Fotografieren im Sommer

Von Sommerlicht bis Sonnernuntergang: Unsere 7 Tipps verraten, wie Sie Urlaubsfotos richtig machen und schöne Bilder mit nachhause bringen.