PortScan

PortScan ist ein TCP-Scanner, ein Tool das erkennt, ob sichere TCP-Ports geöffnet sind und ob diese Verbindungen annehmen. TCP- Scanner werden normalerweise zur Überprüfung von entfernten Computern benutzt, ob dort Dienste laufen (z.B. Telnet oder FTP) und zur Sicherheitsanalyse. Ein Portscan beinhaltet die Sendung von Daten an anwenderspezifizierte Ports und die Auswertung der empfangenen Antwort, ob der Port offen ist.

Information für Windows XP SP2- und Vista-Anwender.

Windows XP Service Pack 2 und neuere Windowsversionen begrenzen die Anzahl der gleichzeitigen unvollständig ausgehenden TCP- Verbindungen auf 10 pro Applikation. Bei Erreichen dieser Begrenzung, werden nachfolgende Verbindungsversuche in eine Warteschlange platziert bis das Problem der fixierten Anzahl behoben ist. Dies kann eine Applikation maßgeblich verlangsamen, die eine große Anzahl von Verbindungsversuchen durchführt. Ein Beispiel einer solchen Applikation ist Essential NetTools im Port-Scan- Modus (das Port Scan-Tool).

Zur Zeit sind keine offiziellen Zwischenlösungen für dieses Problem verfügbar. Es gibt allerdings ein inoffizielles Patch, welches die Systemdateien modifiziert und die Begrenzung entfernt. Wenn Sie Windows XP Service Pack 2 benutzen und sind mit der Port Scan- Geschwindigkeit oder mit der Qualität der Ergebnisse (z.B. viele Ports bleiben unerkannt) unzufrieden, können sie versuchen einen der inoffiziellen, unter http://www.lvllord.de/ verfügbaren Patches zu installieren. Warnung: Dieser Patch kann nur mit Windows XP Service Pack 2 angewendet werden. Dieses Patch wird nicht durch Microsoft unterstützt.

Zusätzlich: Windows XP Service Pack 2 und neuere Windowsversionen entfernen die Unterstützung für Raw Sockets und machen den Verdeckten-Scan-Modus im Port Scan-Tool unmöglich. Zur Zeit sind keine inoffiziellen Patches bekannt.

Bevor Sie den Scan starten, sollten Sie eine Start-IP-Adresse und eine End-IP-Adresse wie oben gezeigt und die Anzahl gleichzeitiger Verbindungen und die Verbindungszeitüberschreitungen in die Aufgaben- und Zeitüberschreitungsfelder eingeben. Dann sollten Sie den Scanner-Modus wählen: Normal oder Verdeckt. Im Normalmodus wird eine TCP-Verbindung zwischen Ihrem Computer und dem zu scannenden Computer eingerichtet. Im Verdeckten-Modus wird die Verbindung zwar initiiert aber nicht erstellt. Diese Scan-Technik ist bekannt als halb-offen- oder SYN-Scanning: Das Programm sendet ein SYN-Paket (als wenn eine Verbindung geöffnet werden soll) an den Zielhost, und der Zielhost antwortet mit einem SYN ACK- (dies zeigt an, dass der Port hört) oder RST ACK-Paket (dies zeigt an, das der Port nicht hört). Verdeckte Scans auf TCP-Ebene können vom Zielhost nicht protokolliert   werden,   obwohl   sie   durch   auf   der   Paketebene   arbeitende   Intrusions   Detection   Systeme   (IDS – Eindringerkennungssysteme) protokolliert werden können. Dieser Modus kann zum Test der Konfiguration und der Effizienz Ihres eigenen LAN-IDS nützlich sein.Der verdeckte Modus ist nur unter Windows 2000/XP verfügbar, erfordert Administratorrechte und  kann  zum  Scannen  der  eigenen  IP-Adresse  benutzt  werden  (zum  Finden  der  eigenen  IP-Adresse,  benutzen  Sie  den Normalmodus oder benutzen Sie das NetStat-Tool zur Ansicht der offenen Ports). Beachten Sie bitte, dass laufende Firewall- Software (inklusive der windowseigenen Firewall) auf Ihrem Computer Auswirkung auf das Scanergebnis des Verdeckten Modus haben; deshalb empfehlen wir, für diesen Scanvorgang die Firewall-Software temporär auszuschalten.

Schließlich sollten Sie zur Untersuchen von Ports eine Liste auswählen. Die Standardliste beinhaltet die folgenden Ports: 7, 9, 11,

13, 17, 19, 21, 23, 25, 43, 53, 70, 79, 80, 88, 110, 111, 113, 119, 135, 139, 143, 389, 443, 445, 512, 513, 1080, 1512, 3128,

6667 und 8080. Wenn Sie eine eigene Liste bevorzugen, wählen Sie die Liste Spez. Ports und geben Sie Ihre eigenen Ports ein. Die Syntax zur Porteingabe ist einfach: Sie können Einzelports oder Portbereiche kommagetrennt eingeben. Nachfolgend finden Sie einige Beispiele an gültigen Portlisten:

1-1024

1-30, 80, 443

21, 22, 25, 80-88, 1000-1024, 6666

Wenn  alle  Optionen  eingegeben  sind,  klicken  Sie  auf [Starten].  Die  Scangeschwindigkeit  kann  im  Programmmenü  unter Einstellungen => Optionen verändert werden (für weiterführende Informationen schauen Sie bitte in das Kapitel Optionen).

Während des Scanvorgangs werden die Portinformationen fortlaufend der Liste hinzugefügt. Die Spalte Offene Ports zeigt die TCP-Ports, die eine Verbindung annehmen. Die Spalte Anz. geschl. Ports zeigt die Ports, die Verbindungen ablehnen, während die Spalte Anz. inaktiver Ports, die Ports anzeigt, welche Verbindungsversuche ignorieren. Im Normalmodus, können die beiden letzten Spalte diese Anzahl nicht anzeigen, da dieser Modus nur offene Ports entdecken, aber nicht zwischen geschlossenen und inaktiven Ports unterscheiden kann. Mit anderen Worten, im Normalmodus werden alle nicht offenen Ports als geschlossen angesehen. Im Verdeckten Modus werden Ports, die mit einem RST ACK antworten als geschlossen betrachtet, während Ports, die ein SYN-Paket komplett ignorieren als inaktiv angesehen werden, was anzeigt, das sie durch eine Firewall geschützt sind.

Rechtsklicken auf einen gelisteten Computer öffnet ein Menü mit folgenden Befehlen: