Briefing & Port-Scanning

Willkommen in der Woche der Prozentzahlen! Es vergeht kein Moment ohne neue Prozentzahlen. Entweder bei den Strafzöllen oder den Kurseinbrüchen am Markt. Und apropos Einbrüche: Ich habe mir für den heutigen Deep Dive Gedanken über Port-Scanning gemacht! :)

Die 5 Top Reads der Woche

• Neues Microsoft Outlook ist Sprengstoff für Datenschützer

• China gesteht Cyberangriffe auf die USA angeblich indirekt ein

• MS Recall ist nur noch einen Schritt vom vollständigen Release entfernt.

• Nach Patchday: Mysteriöser Ordner erscheint in Windows

• Wegen KI: Rechenzentren verbrauchen 2030 doppelt so viel

Und jetzt geht’s weiter zum Deep Dive, diesmal geht es um Port-Scanning! :)

Deep Dive Port-Scanning

Was ist Port-Scanning?

Port-Scanning ist im Grunde eine Methode, um herauszufinden, welche Türen an einem Computer oder Server geöffnet, geschlossen oder versteckt sind. Diese "Türen" sind die Ports – numerische Adressen, die bestimmten Netzwerkdiensten zugeordnet sind. Wenn du eine Webseite besuchst, kommuniziert dein Browser typischerweise über Port 80 (HTTP) oder 443 (HTTPS).
Ein Port-Scanner sendet Anfragen an eine Reihe von Ports eines Zielsystems und analysiert die Antworten. Diese Antworten verraten, ob ein Port:

- Offen ist (der Dienst antwortet)
- Geschlossen ist (keine Anwendung hört auf diesem Port)
- Gefiltert wird (eine Firewall blockiert den Zugriff)

Die gängigsten Port-Scanning-Techniken

1. TCP Connect Scan
Der einfachste und offensichtlichste Scan. Hier wird eine vollständige TCP-Verbindung (Three-Way-Handshake) aufgebaut. Ist dieser erfolgreich, ist der Port offen. Diese Methode hinterlässt deutliche Spuren in Logs.

2. SYN Scan ("Half-open" Scan)
Ein raffinierter Ansatz: Der Scanner sendet ein SYN-Paket, erhält er ein SYN-ACK zurück, weiß er, dass der Port offen ist – bricht dann aber die Verbindung ab, indem er kein ACK sendet. Diese Technik ist weniger auffällig und wird deshalb oft als "Stealth Scan" bezeichnet.

3. FIN, XMAS und NULL Scans
Diese Scans nutzen ungewöhnliche TCP-Flag-Kombinationen. Sie funktionieren, weil geschlossene Ports auf solche unerwarteten Pakete reagieren müssen, während offene Ports sie ignorieren können. Eine clevere Methode, um restriktive Firewalls zu umgehen.

4. UDP Scan
Nicht zu vergessen: Neben TCP gibt es auch UDP-Ports. Diese zu scannen ist kniffliger, da UDP verbindungslos ist und offene Ports oft nicht antworten. Stattdessen achtet man auf ICMP "Port unreachable"-Nachrichten, die auf geschlossene Ports hindeuten.

Nmap

Nmap (Network Mapper) ist das Schweizer Taschenmesser des Port-Scannings. Es unterstützt praktisch jede bekannte Scanning-Technik, kann Betriebssysteme erkennen und bietet sogar Skript-Funktionen für benutzerdefinierte Tests. 

Die Kommandozeilen-Syntax mag anfangs einschüchternd wirken, aber die Flexibilität ist unübertroffen.

Ein einfacher Nmap-Scan könnte so aussehen: