Netzwerk-Scannen bezieht sich auf den Prozess des Erhaltens zusätzlicher Informationen und des Durchführens einer detaillierteren Aufklärung basierend auf den gesammelten Informationen in der Footprinting-Phase .
In dieser Phase werden verschiedene Verfahren verwendet, um Hosts, Ports und Dienste im Zielnetzwerk zu identifizieren. Der gesamte Zweck besteht darin, Schwachstellen in Kommunikationskanälen zu identifizieren und anschließend einen Angriffsplan zu erstellen.
Es gibt drei Arten des Scannens:
Port-Scan-Techniken sind äußerst nützlich, wenn es darum geht, offene Ports zu identifizieren. Scan-Techniken stellen verschiedene Kategorien dar, die basierend auf Protokolltypen verwendet werden. Sie sind in drei Kategorien unterteilt:
Das ICMP-Scannen wird verwendet, um aktive Geräte zu identifizieren und festzustellen, ob ICMP eine Firewall passieren kann.
Der Ping-Sweep wird verwendet, um den Bereich von IP-Adressen zu bestimmen, der aktiven Geräten zugeordnet ist. Es ermöglicht Hackern, Subnetzmasken zu berechnen und die Anzahl der vorhandenen Hosts im Subnetz zu identifizieren. Dies ermöglicht es ihnen wiederum, ein Inventar der aktiven Geräte im Subnetz zu erstellen.
ICMP Echo Scanning wird verwendet, um zu bestimmen, welche Hosts in einem Zielnetzwerk aktiv sind, indem alle Computer im Netzwerk gepingt werden.
TCP-Verbindungsscan zum Erkennen offener Ports nach Abschluss des Drei-Wege-Handshakes. Es funktioniert, indem eine vollständige Verbindung hergestellt und dann durch Senden eines RST-Pakets getrennt wird.
Der Stealth-Scan wird zum Umgehen von Firewall- und Protokollierungsmechanismen verwendet. Dies funktioniert durch Zurücksetzen der TCP-Verbindung, bevor der Drei-Wege-Handshake abgeschlossen ist, wodurch die Verbindung halb geöffnet wird.
Das inverse Scannen von TCP-Flags funktioniert durch Senden von TCP-Testpaketen mit oder ohne TCP-Flags. Anhand der Antwort kann festgestellt werden, ob der Port offen oder geschlossen ist. Wenn keine Antwort erfolgt, ist der Port geöffnet. Wenn die Antwort RST ist, ist der Port geschlossen.
Der Weihnachtsscan sendet einen TCP-Frame mit FIN-, URG- und PUSH-Flags an das Zielgerät. Anhand der Antwort kann festgestellt werden, ob der Port offen oder geschlossen ist. Wenn keine Antwort erfolgt, ist der Port geöffnet. Wenn die Antwort RST ist, wird der Port geschlossen. Es ist wichtig zu beachten, dass dieser Scan nur für UNIX-Hosts funktioniert.
Das ACK-Flag-Probe-Scannen sendet TCP-Probe-Pakete mit gesetztem ACK-Flag, um festzustellen, ob der Port offen oder geschlossen ist. Dies erfolgt durch Analyse des TTL- und WINDOW-Felds des Headers des empfangenen RST-Pakets. Der Port ist offen, wenn der TTL-Wert kleiner als 64 ist.
In ähnlicher Weise wird der Port auch als offen betrachtet, wenn der WINDOW-Wert nicht 0 (Null) ist. Andernfalls gilt der Port als geschlossen.
Der ACK-Flag-Test wird auch verwendet, um die Filterregeln des Zielnetzwerks zu bestimmen. Wenn keine Antwort erfolgt, bedeutet dies, dass eine zustandsbehaftete Firewall vorhanden ist. Wenn die Antwort RST ist, wird der Port nicht gefiltert.
Der IDLE / IPID-Header-Scan sendet eine gefälschte Quelladresse an das Ziel, um festzustellen, welche Dienste verfügbar sind. Bei diesem Scan verwenden Hacker die IP-Adresse eines Zombie-Computers zum Versenden der Pakete. Anhand der IPID des Packers (Fragmentidentifikationsnummer) kann festgestellt werden, ob der Port offen oder geschlossen ist.
Beim UDP-Scannen wird das UDP-Protokoll verwendet, um zu testen, ob der Port offen oder geschlossen ist. Bei diesem Scan erfolgt keine Flagmanipulation. Stattdessen wird ICMP verwendet, um festzustellen, ob der Port geöffnet ist oder nicht. Wenn also ein Paket an einen Port gesendet wird und das nicht erreichbare ICMP-Port-Paket zurückgegeben wird, bedeutet dies, dass der Port geschlossen ist. Wenn jedoch keine Antwort erfolgt, ist der Port geöffnet.
Der SSDP-Dienst (Simple Service Discovery Protocol) antwortet auf Anfragen, die über IPv4- und IPv6-Broadcast-Adressen gesendet werden. Angreifer verwenden diesen Scan, um UPnP-Schwachstellen auszunutzen und Pufferüberlauf- oder DoS-Angriffe auszuführen. Das Scannen von Listen erkennt indirekt Hosts. Bei diesem Scan werden IP-Adressen und -Namen aufgelistet, ohne die Hosts anzupingen, und eine umgekehrte DNS-Auflösung durchgeführt, um die Namen der Hosts zu identifizieren.