Portscans und Service Detection sind zwei wichtige Aspekte im Bereich der Netzwerksicherheit, die oft von Sicherheitsprofis genutzt werden, um die Sicherheit von Netzwerken zu bewerten. Werkzeuge wie Nmap und Masscan sind dabei besonders bekannt.
Ein Portscan ist ein Vorgang, bei dem ein Angreifer oder Sicherheitsanalyst versucht, die offenen Ports auf einem System zu identifizieren. Ports sind numerische Endpunkte, die den Zugang zu einem Computer oder einer Anwendung ermöglichen. Ein Portscan gibt Aufschluss darüber, welche Ports auf einem bestimmten Zielrechner geöffnet sind und somit potenzielle Angriffsvektoren darstellen können. Dabei gibt es verschiedene Arten von Scans, darunter der SYN-Scan, der ACK-Scan und der vollständige Verbindungs-Scan (TCP Connect Scan).
Service Detection ist ein weiterer Schritt nach dem Portscan. Nachdem die offenen Ports identifiziert wurden, versucht die Service Detection, die genauen Dienste und Anwendungen zu ermitteln, die auf diesen Ports laufen. Das ist entscheidend, um Schwachstellen und mögliche Angriffsvektoren zu verstehen. Nmap bietet zum Beispiel eine umfassende Service Detection-Funktionalität, die es ermöglicht, nicht nur den Diensttyp zu identifizieren, sondern auch die genaue Version.
Masscan hingegen ist ein High-Speed-Scanner, der darauf abzielt, große Netzwerkbereiche in kürzester Zeit zu durchsuchen. Durch seine Geschwindigkeit eignet sich Masscan besonders für das schnelle Auffinden von offenen Ports in großen IP-Bereichen. Die standardmäßige Übertragungsrate beträgt 100 Pakete pro Sekunde, kann aber optional auf bis zu 25 Millionen Pakete pro Sekunde erhöht werden. Diese Rate ist ausreichend, um das Internet in 3 Minuten auf einen bestimmten Port zu durchsuchen.
NMAP-SYN-Scan
nmap -sS <target-ip> -P0NMAP-Service-Detection
nmap -sV -p80 <target-ip>Masscan
masscan -p22 <0.0.0.0/24> --rate=10000