Netzwerk-Scanning (Host Discovery)

Unter dem sehr allgemeinen Begriff "Scanning" versteht man in der Regel das Auskundschaften eines möglichen Angriffsziels (Host Discovery). Entweder ist es schon bekannt oder man will es noch entdecken und dann auf Schwachstellen analysieren.

Was ist Scanning?

Beim Scanning will man als Systemadminstrator, Pentester oder Hacker herauszufinden, auf welche Weise eine TCP/IP-Verbindung zu einem oder mehreren Hosts aufgebaut werden kann.
Man unterscheidet beim Scanning, ob man einen ganzen IP-Adressbereich, also alle Hosts in einem Subnetz scannt oder ob man nur einen einzigen Host scannt. Beim Scanning eines Adressbereichs geht es in der Regel darum, die verfügbaren Hosts im Adressbereich zu ermitteln, deren Aufgabe zu bestimmen und Hosts mit Schwachstellen zu erkennen.
Beim Scanning eines einzelnen Hosts, geht es darum, die auf einem Host laufenden Dienste, sowie die verwendeten Firewall- bzw. Filterregeln zu bestimmen. Man kann dabei auch eventuelle Schwachstellen erkennen, um diese als Administrator zu beheben oder als Angreifer auszunutzen, um in diese Systeme einzudringen.

Teilbereiche des Scannings (Auswahl)

  • Ping-Scanning
  • Port-Scanning
  • Service-Identification
  • OS-Identification
  • Vulnerability-Scanning
  • IPv6-Scanning

Aufgaben und Ziele beim Scanning

  • Erkennung von aktiven Systemen
  • Erkennung offener Ports (TCP/UDP)
  • Erkennung verwendeter Dienste und deren Version
  • Erkennung verwendeter Betriebssysteme und deren Version
  • Erkennung von Schwachstellen

Alle diese Ziele dienen dem Zweck, Angriffsflächen in Diensten, Betriebssystemen und installierter Software sichtbar zu machen.

Ping-Scan / Ping-Scanning

Ein Ping-Scan ermittelt die Erreichbarkeit eines oder mehrerer Ziele im Netzwerk. Es geht darum zu erkennen, ob ein Host erreichbar ist oder nicht. Wenn man den Ping-Scan auf ein ganzes Netzwerk (Subnetz) anwendet, dann kann man ermittelt, welche Rechner online sind.

Port-Scan / Port-Scanning

Auch wenn das Erkennen von Sicherheitslücken und Schwachstellen der häufigste Grund für das Port-Scanning ist, kann man damit auch eine Inventur von Computern und der angebotenen Dienste erstellen. Weitere Anwendungen sind das Prüfen der Einhaltung von Richtlinien, Verfügbarkeitstests und Fehlersuche im Netzwerk.

Im Vergleich zum Ping-Scanning geht es beim Port-Scanning nicht nur darum, ob und welche Hosts aktiv sind, sondern auch welche Anwendungen aktiv und erreichbar sind. Die Erreichbarkeit wird dabei über den Zustand der Ports bestimmt. Typischerweise sind die Ports offen, geschlossen oder gefiltert. Besonders offene Ports sind interessant. Hier lohnt die weitere Untersuchung, weil hier Anwendungen zur Kommunikation bereit sind.

IPv6-Scanning

Die typischen Scan-Methoden, die bei IPv4 gelten, funktionieren in der Regel bei IPv6 nicht mehr. Deshalb muss man IPv6-Scanning getrennt von anderen Scanning-Methoden betrachten. Hier gelten anderen Regeln und Funktionsweisen.

OS & Service Identification

Werden beim Port-Scanning einige Ports als offen erkannt, gilt es herauszufinden, welche Anwendungen genau auf dem entfernten System läuft. Interessant ist auch, welches Betriebssystem zum Einsatz kommt, weil die Kombination aus Betriebssystem und Anwendung oftmals Sicherheitslücken offenbart, über die man natürlich im Vorfeld informiert sein muss. Alternativ bestünde die Möglichkeit, eventuelle Sicherheitslücken zu recherchieren.

Vulnerability-Scanning

Das Vulnerability-Scanning gehört nicht mehr zum klassischen Scanning. Hier werden Angriffsziele systematisch und automatisiert nach Schwachstellen geprüft. Der nächste Schritt wäre schon das Exploiting.

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!