Netzwerk-Scan-Techniken

Netzwerk-Scannen bezieht sich auf den Prozess des Erhaltens zusätzlicher Informationen und des Durchführens einer detaillierteren Aufklärung basierend auf den gesammelten Informationen in der Footprinting-Phase .

In dieser Phase werden verschiedene Verfahren verwendet, um Hosts, Ports und Dienste im Zielnetzwerk zu identifizieren. Der gesamte Zweck besteht darin, Schwachstellen in Kommunikationskanälen zu identifizieren und anschließend einen Angriffsplan zu erstellen.



Arten des Netzwerk-Scannens

Es gibt drei Arten des Scannens:


  • Port-Scan - wird verwendet, um offene Ports und Dienste aufzulisten
  • Netzwerk-Scannen - wird verwendet, um IP-Adressen aufzulisten
  • Scannen von Sicherheitslücken - wird verwendet, um das Vorhandensein bekannter Sicherheitslücken zu erkennen


Scan-Techniken

Port-Scan-Techniken sind äußerst nützlich, wenn es darum geht, offene Ports zu identifizieren. Scan-Techniken stellen verschiedene Kategorien dar, die basierend auf Protokolltypen verwendet werden. Sie sind in drei Kategorien unterteilt:

  • Scannen von ICMP-Netzwerkdiensten
  • Scannen von TCP-Netzwerkdiensten
  • Scannen von UDP-Netzwerkdiensten

Scannen von ICMP-Netzwerkdiensten

ICMP-Scannen

Das ICMP-Scannen wird verwendet, um aktive Geräte zu identifizieren und festzustellen, ob ICMP eine Firewall passieren kann.


Ping Sweep

Der Ping-Sweep wird verwendet, um den Bereich von IP-Adressen zu bestimmen, der aktiven Geräten zugeordnet ist. Es ermöglicht Hackern, Subnetzmasken zu berechnen und die Anzahl der vorhandenen Hosts im Subnetz zu identifizieren. Dies ermöglicht es ihnen wiederum, ein Inventar der aktiven Geräte im Subnetz zu erstellen.

ICMP Echo Scanning

ICMP Echo Scanning wird verwendet, um zu bestimmen, welche Hosts in einem Zielnetzwerk aktiv sind, indem alle Computer im Netzwerk gepingt werden.

Scannen von TCP-Netzwerkdiensten

TCP Connect

TCP-Verbindungsscan zum Erkennen offener Ports nach Abschluss des Drei-Wege-Handshakes. Es funktioniert, indem eine vollständige Verbindung hergestellt und dann durch Senden eines RST-Pakets getrennt wird.

Stealth-Scan

Der Stealth-Scan wird zum Umgehen von Firewall- und Protokollierungsmechanismen verwendet. Dies funktioniert durch Zurücksetzen der TCP-Verbindung, bevor der Drei-Wege-Handshake abgeschlossen ist, wodurch die Verbindung halb geöffnet wird.


Inverses TCP-Flag-Scannen

Das inverse Scannen von TCP-Flags funktioniert durch Senden von TCP-Testpaketen mit oder ohne TCP-Flags. Anhand der Antwort kann festgestellt werden, ob der Port offen oder geschlossen ist. Wenn keine Antwort erfolgt, ist der Port geöffnet. Wenn die Antwort RST ist, ist der Port geschlossen.

Weihnachtsscan

Der Weihnachtsscan sendet einen TCP-Frame mit FIN-, URG- und PUSH-Flags an das Zielgerät. Anhand der Antwort kann festgestellt werden, ob der Port offen oder geschlossen ist. Wenn keine Antwort erfolgt, ist der Port geöffnet. Wenn die Antwort RST ist, wird der Port geschlossen. Es ist wichtig zu beachten, dass dieser Scan nur für UNIX-Hosts funktioniert.

ACK Flag Probe Scannen

Das ACK-Flag-Probe-Scannen sendet TCP-Probe-Pakete mit gesetztem ACK-Flag, um festzustellen, ob der Port offen oder geschlossen ist. Dies erfolgt durch Analyse des TTL- und WINDOW-Felds des Headers des empfangenen RST-Pakets. Der Port ist offen, wenn der TTL-Wert kleiner als 64 ist.

In ähnlicher Weise wird der Port auch als offen betrachtet, wenn der WINDOW-Wert nicht 0 (Null) ist. Andernfalls gilt der Port als geschlossen.


Der ACK-Flag-Test wird auch verwendet, um die Filterregeln des Zielnetzwerks zu bestimmen. Wenn keine Antwort erfolgt, bedeutet dies, dass eine zustandsbehaftete Firewall vorhanden ist. Wenn die Antwort RST ist, wird der Port nicht gefiltert.

Scannen von UDP-Netzwerkdiensten

IDLE / IPID-Header-Scan

Der IDLE / IPID-Header-Scan sendet eine gefälschte Quelladresse an das Ziel, um festzustellen, welche Dienste verfügbar sind. Bei diesem Scan verwenden Hacker die IP-Adresse eines Zombie-Computers zum Versenden der Pakete. Anhand der IPID des Packers (Fragmentidentifikationsnummer) kann festgestellt werden, ob der Port offen oder geschlossen ist.

UDP-Scannen

Beim UDP-Scannen wird das UDP-Protokoll verwendet, um zu testen, ob der Port offen oder geschlossen ist. Bei diesem Scan erfolgt keine Flagmanipulation. Stattdessen wird ICMP verwendet, um festzustellen, ob der Port geöffnet ist oder nicht. Wenn also ein Paket an einen Port gesendet wird und das nicht erreichbare ICMP-Port-Paket zurückgegeben wird, bedeutet dies, dass der Port geschlossen ist. Wenn jedoch keine Antwort erfolgt, ist der Port geöffnet.

SSDP und Listenscanning

Der SSDP-Dienst (Simple Service Discovery Protocol) antwortet auf Anfragen, die über IPv4- und IPv6-Broadcast-Adressen gesendet werden. Angreifer verwenden diesen Scan, um UPnP-Schwachstellen auszunutzen und Pufferüberlauf- oder DoS-Angriffe auszuführen. Das Scannen von Listen erkennt indirekt Hosts. Bei diesem Scan werden IP-Adressen und -Namen aufgelistet, ohne die Hosts anzupingen, und eine umgekehrte DNS-Auflösung durchgeführt, um die Namen der Hosts zu identifizieren.