Warum sollte ein Angreifer wissen wollen, welche Ports offen sind?

• Um einen Exploit auszuführen, benötigt ein Angreifer eine Sicherheitsanfälligkeit.
• Um eine Sicherheitsanfälligkeit zu finden, muss der Angreifer alle auf dem Computer ausgeführten Dienste mit einem Fingerabdruck versehen (herausfinden, welches Protokoll er verwendet, welches Programme implementieren sie und vorzugsweise die Versionen dieser Programme.
• Um einen Dienst mit einem Fingerabdruck zu versehen, muss der Angreifer wissen, dass einer auf einem öffentlich zugänglichen Port ausgeführt wird.
• Um dies herauszufinden Bei öffentlich zugänglichen Ports, auf denen Dienste ausgeführt werden, muss der Angreifer einen Port-Scan ausführen.

Wie Sie sehen, ist ein Port-Scan der erste Aufklärungsschritt, den ein Angreifer ausführt, bevor er ein System angreift.

Bedenken Sie, dass ich Ihr Haus ausrauben möchte ... Dann würde ich nach einem Weg suchen, um hineinzukommen. Aber Ihr Haus hat Türschlösser, die nur Ihrer lokalen (Familie) den Zugriff ermöglichen, so dass ich nach anderen ähnlichen (Ports) Fenstern (anderen offenen öffentlichen Ports) suchen werde, um hineinzukommen. Und versuchen Sie, einige Daten zu erhalten. Wenn Ports dies tun Seien Sie offen für SSH / FTP. Sie versuchen, sie auszunutzen. Versuchen Sie, Dateien oder Bruteforce hochzuladen.

Wie Girish betont, ist ein Port-Scan wie das Verkleiden eines Hauses. Es ist eine sehr rauscharme Aktivität, wenn sie über das Internet ausgeführt wird, da Sie täglich Dutzende von Port-Scans sehen. Außerdem erhalten Sie eine kleine Menge an Informationen über den Status Ihrer Maschine, sodass Sie die nächste Ebene des Angriffs noch besser anpassen können.

Es ist auch spottbillig! Port-Scan kostet den Angreifer fast nichts, und manchmal hat man Glück. In The Art of Intrusion gibt Kevin Mitnick Beispiele dafür, wo sich solche Angriffe im wirklichen Leben auszahlen. In einem einfachen System ist es einfach, alle Ports zu sperren. In einem komplizierteren IT-Netzwerk ist es schwieriger zu beweisen, dass es keinen geschäftslogischen Grund für einen offenen Port gibt, und die erste Regel der IT lautet: "Das Geschäft nicht verärgern", sodass sie möglicherweise offen bleiben. Mitnicks Buch gab das Beispiel eines Falles, in dem eine von der Jury manipulierte serielle Verbindung versehentlich dem Internet ausgesetzt war. Der Angreifer geht davon aus, dass es ein einmaliger Versuch war, ein Problem zu lösen, das nie abgebaut wurde, nachdem seine Verwendung nicht mehr erforderlich war. Jahre später war es tatsächlich der Angriffsvektor, der von den Hackern gefunden und ausgenutzt wurde.

Es gibt Situationen, in denen Port-Scans vermieden werden. Advanced Persistent Threats (APT) werden normalerweise im LAN ausgeführt. Während Port-Scans aus dem Internet eine tägliche Angelegenheit sind, sind Port-Scans aus dem LAN viel "lauter". Angesichts der Tatsache, dass APTs Stealth schätzen, vermeiden sie häufig Port-Scans, bei denen es sich unter anderen Umständen möglicherweise nur um zufällige Pot-Shots handelt, um festzustellen, ob man Glück hat.

Haben Sie jemals versucht, Netzwerkkommunikation mit einem Stein durchzuführen? Wie wäre es mit einem Netzwerkrouter ohne Strom? Es ist ziemlich langweilig, weil Sie keine Antwort erhalten.

Angreifer versuchen daher, die gängigsten Netzwerkprotokolle wie TCP und UDP zu verwenden, die Nummern verwenden, die als "Portnummern" oder "Ports" bezeichnet werden. ( SCTP verwendet auch Ports .)

Wenn ein Port geschlossen ist, dann Es gibt normalerweise eines von zwei Ergebnissen: eine Antwort, die "Verbindung abgelehnt" anzeigt, oder überhaupt keine Antwort. Nun, eines dieser Ergebnisse ist weitaus weniger interessant als ein "offener" Port, was einfach bedeutet, dass der Angreifer eine andere Art von Antwort erhalten kann, wenn er versucht, mit dem Zielgerät zu interagieren.

Das Scannen von Ports kann sich darauf beziehen zum Scannen des gesamten möglichen Bereichs von Portnummern (0 bis 65535) oder einfach zum Scannen von einer Liste wahrscheinlicher Ports (z. B. 80, 443, 25, 22), um festzustellen, welche IP-Adressen reagieren. IP-Adressen, die auf eine Portnummer reagieren, sind wahrscheinlich Ziele für Angreifer, um zusätzliche Anstrengungen zur Interaktion zu unternehmen, insbesondere wenn die Portnummer, die antwortet, die Nummer eines häufig verwendeten Standards ist (z. B. ist TCP-Port 80 der häufigste Port für HTTP). .

(Obwohl Benutzer einen Port für einen anderen Zweck als den üblichen verwenden können, ist dies eher ungewöhnlich, vor allem, weil viele Softwareprogramme alternative Portnummern nicht so einfach verarbeiten können. Der Standard für Webbrowser besteht darin, dass ein Doppelpunkt und die Portnummer hinzugefügt werden müssen, wenn ein nicht standardmäßiger Port verwendet wird. Durch die Verwendung von Standardportnummern müssen Benutzer diese Informationen nicht mehr eingeben.)

Scannen Ein Port hat auch Vorteile gegenüber dem Versuch, komplexere Interaktionen durchzuführen, wie bei vielen Netzwerkangriffen. Die erforderliche Zeit und Bandbreite ist viel geringer, sodass das Scannen viel schneller durchgeführt werden kann als bei aufwändigeren Angriffen.

Hacking hat eine "Entdeckungsphase". Während der Erkennungsphase ermitteln Sie so viele Informationen wie möglich über Ihr Ziel. Das Scannen von Ports ist nur ein Aspekt der Erkennung. Die meisten Programme werden auf ihrem Standardport ausgeführt. Wenn Sie also wissen, welche Ports geöffnet sind, erhalten Sie einige Informationen darüber, was auf dem Computer ausgeführt wird. Wenn die Ports 80 und 443 geöffnet sind, handelt es sich wahrscheinlich um eine Art Webserver. Dann entdecken Sie, welcher Webserver ausgeführt wird und welche Software der Webserver ausführt. Ein offener Port bedeutet, dass etwas auf diesem Port lauscht und dass Sie mit allem kommunizieren können, was auf diesem Port ausgeführt wird, was ein potenzieller Eintrag für einen Hacker ist. Der Versuch, den Standardbenutzernamen & für Kennwortkombinationen zu verwenden, ist nur ein Teil des Hackens. Die Verwendung von Schwachstellen in Software, die auf dem Traget ausgeführt wird, ist ein weiterer Teil. Es ist ein guter erster Schritt, herauszufinden, welche Software das Port-Scannen ausführt. Wenn Sie nicht wissen, welche Ports geöffnet sind, wissen Sie nicht, an welche Ports Sie schädliche Pakete senden können.

Sobald eine Anwendung auf einem bestimmten Port geantwortet hat, kann diese Anwendung für Exploits ausgewählt werden. Beispielsweise wird nmap Fingerabdrücke erstellen und Software und Anwendungen melden, die auf einem Server ausgeführt werden, manchmal mit Versionsinformationen. Veraltete Versionen weisen öffentlich bekannte Sicherheitslücken auf, auf die Software wie metaspoit abzielen könnte.

Dieser Typ erklärt dies gut. Analog dazu ist ein offener Port wie eine offene Tür. Sobald eine Tür geöffnet ist, kann das betreffende Gerät verwendet werden, um andere Geräte im selben Netzwerk anzusprechen. Das verknüpfte Dokument erklärt, wie der Autor in das interne Netzwerk des Hacking Teams gelangt ist und dessen Daten verloren hat.