Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

Hafen-Scan

Port-Scans sind ein wesentlicher Bestandteil der Netzwerkwartung, können aber von Angreifern genutzt werden, um offene Türen zu finden. Hier erfahren Sie, was Sie wissen müssen, um Port-Scans zu erkennen und zu stoppen.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist ein Port-Scan?

Ein Port-Scan ist eine Technik, die Angreifer verwenden, um Schwachstellen in Ihrem Netzwerk zu erkennen. Während Port-Scanner wertvolle Anwendungen für die Netzwerksicherheit haben - um offene Ports, Schwachstellen oder unnötige Geräte, die mit dem Netzwerk verbunden sind, aufzudecken - können böswillige Akteure sie nutzen, um Schwachstellen für den Zugang zu finden. Angreifer können damit auch feststellen, ob Sie Firewalls, VPN, Proxy-Server und andere Sicherheitsvorrichtungen einsetzen.

Wie es funktioniert

Wie die Port-Scan-Technik funktioniert

Bei Port-Scans werden Pakete an eine Reihe von Netzwerkports gesendet und die Antworten analysiert, um festzustellen, welche Ports offen, geschlossen oder gefiltert sind. Diese Ports entsprechen verschiedenen Diensten (z. B. HTTP, FTP oder SSH), die von Angreifern potenziell ausgenutzt werden können, wenn sie unzureichend gesichert sind.

Port-Scan-Prozess
Warum Angreifer sie benutzen

Warum Angreifer Port-Scan-Techniken verwenden

Angreifer verwenden Port-Scans häufig in der Erkundungsphase, um anfällige Dienste oder falsch konfigurierte Systeme zu identifizieren. Das Scannen nach offenen Ports wie 22 (SSH) oder 3389 (RDP) kann beispielsweise Verwaltungsdienste aufdecken, auf die aus der Ferne zugegriffen werden kann und die zu Angriffszielen werden könnten.

Sobald ein Angreifer weiß, welche Ports offen sind, kann er sich auf die Suche nach Schwachstellen in Diensten machen, die auf diesen Ports laufen. Wenn Scan-Tools beispielsweise aufdecken, dass ein Webserver über Port 80 läuft, können Angreifer ihn auf Fehlkonfigurationen, ungepatchte Software oder schwache Anmeldedaten untersuchen.

Arten von Port-Scan-Angriffen

Angreifer verwenden verschiedene Arten von Port-Scanning-Techniken, je nachdem, welcher Grad an Tarnung erforderlich ist:

  • TCP-Verbindungsprüfung: Bei diesem Scan wird versucht, einen vollständigen Drei-Wege-Handshake durchzuführen, um festzustellen, ob ein Port offen ist. Dies ist der am leichtesten zu entdeckende Port-Scan-Angriff, da er Protokolle in den Verbindungsaufzeichnungen des Systems hinterlässt. Diese Technik wird verwendet, wenn ein SYNC-Scan nicht möglich ist.
  • SYN-Scans: SYN-Scans oder halboffene Scans sind unauffälliger als ein TCP-Verbindungsscan. Das Port-Scan-Tool sendet ein Paket, um die Verbindung zu initiieren, schließt aber den Handshake nicht ab, wodurch die Wahrscheinlichkeit einer Entdeckung verringert wird. Diese Methode deckt offene Ports auf, ohne eine vollständige TCP-Verbindung aufzubauen oder Alarme zu signalisieren.
  • FIN-, Xmas- und NULL-Scans: Hierbei handelt es sich um Techniken zur Umgehung von Firewalls oder Intrusion Detection Systemen (IDS). Dabei werden Pakete mit ungewöhnlichen Flaggenkombinationen gesendet, um einen bestimmten Port zu prüfen. Je nach Betriebssystem kann ein offener oder geschlossener Port unterschiedlich reagieren, was es Angreifern ermöglicht, das Netzwerk auf subtile Weise abzubilden.
  • UDP-Scan: Da UDP (User Datagram Protocol) ein verbindungsloses Protokoll ist, besteht ein Scan darin, ein UDP-Paket an einen Port zu senden und die Antwort oder das Fehlen einer Antwort zu analysieren. Diese Art von Scan ist langsamer und schwieriger durchzuführen als TCP-Scans, da UDP-Antworten weniger vorhersehbar sind und viele Dienste erst dann antworten, wenn eine Anfrage richtig geformt ist.
  • FTP-Bounce-Scans: Bei dieser Taktik wird ein FTP-Server verwendet, um ein Paket weiterzuleiten und den Standort des Absenders zu verschleiern, so dass der Angreifer unentdeckt bleiben kann.
  • ‍Ping-Scans: Bei dieser Art von Scans verwenden Angreifer einen Ping, um zu testen, wie leicht ein Netzwerkdatenpaket eine IP-Adresse erreichen kann.

Die folgende Tabelle gibt einen Überblick über die verschiedenen Port-Scan-Techniken und ihren Grad der Unauffälligkeit:

Technik des Scannens Zweck Stufe der Heimlichkeit
TCP Connect Scan Versucht, eine vollständige TCP-Verbindung mit dem Zielport herzustellen, um zu prüfen, ob er offen ist. Niedrig (leicht nachweisbar)
TCP SYN-Scan (halboffener Scan) Sendet SYN-Pakete, um offene Ports zu ermitteln, ohne den TCP-Handshake abzuschließen. Mittel (weniger nachweisbar)
UDP-Scan Sendet UDP-Pakete, um offene UDP-Ports auf dem Zielsystem zu finden. Gering (kann unzuverlässig und nachweisbar sein)
FIN, Weihnachten und Null-Scans Sendet Pakete mit ungewöhnlichen Flaggenkombinationen, um Firewalls zu umgehen und offene Ports zu erkennen. Hoch (heimlich)
Ping-Sweep Sendet ICMP-Echo-Anfragen, um aktive Hosts in einem Netzwerk zu ermitteln. Niedrig (leicht nachweisbar)
Version Scanning Sondiert Dienste, um Softwareversionen zu ermitteln und Schwachstellen zu identifizieren. Niedrig bis mittel
Idle-Scan Verwendet einen "Zombie"-Host zur Durchführung von Scans und verbirgt die IP-Adresse des Angreifers. Sehr hoch (extrem unauffällig)

Warum Port Scanning für Angreifer attraktiv ist

  • Nicht-invasiv und unauffällig: Einige Scan-Techniken sind so konzipiert, dass sie von Firewalls und IDS nicht erkannt werden.
  • Niedrige Einstiegshürde: Es gibt zahlreiche kostenlose Tools und Skripte, die das Port-Scanning für Angreifer mit unterschiedlichen Fähigkeiten zugänglich machen.
  • Unerlässlich für die Planung von Angriffen: Liefert wichtige Informationen, die für die Ausarbeitung wirksamer Angriffsstrategien erforderlich sind.
  • Anonymität: Techniken wie der Leerlaufscan helfen Angreifern, anonym zu bleiben.
Plattform-Detektionen

Wie man Port-Scans erkennt

Eine Möglichkeit für Cybersicherheitsteams, Port-Scan-Angriffe zu verhindern, besteht darin, selbst regelmäßig Port-Scans durchzuführen. Auf diese Weise lassen sich potenzielle Zielsysteme ermitteln, die derzeit ungeschützt sind, so dass unnötige Ports geschlossen und Sicherheitslücken geschlossen werden können. Eine starke Firewall ist ebenfalls wichtig, um unbefugten Zugriff zu verhindern.

Es ist jedoch wichtig, dass es dabei nicht bleibt. Auch wenn es wichtig ist, Ihre Gefährdung zu reduzieren, brauchen Sie eine Möglichkeit, um zu erkennen, wann interne Dienste angegriffen werden. Die Erkennung verdächtiger Port-Scans von Vectra AIbeispielsweise wurde speziell entwickelt, um Verteidiger zu warnen, wenn ein Angreifer aktiv versucht, Port-Verbindungen über eine oder mehrere IP-Adressen herzustellen.

Erkennung
Verdächtiger Port-Scan
Mehr erfahren
Erkennung
Ausgehender Port-Sweep
Mehr erfahren
Erkennung
Verdächtige Hafendurchsuchung
Mehr erfahren
Erkennung
SMB-Konto-Scan
Mehr erfahren
Erkennung
Interner Darknet-Scan
Mehr erfahren
Erkennung
Kerberos-Konto-Scan
Mehr erfahren
Alle Entdeckungen erforschen

Schützen Sie Ihr Netzwerk mit erweiterten Erkennungsfunktionen

Vectra AI nutzt leistungsstarke KI-gesteuerte Erkennungsfunktionen, darunter auch für Port-Scanning, um den Netzwerkverkehr kontinuierlich zu überwachen und Angriffe frühzeitig zu erkennen. Zusammen decken diese Erkennungen 90 % der relevanten MITRE ATT&CK Techniken ab.

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen