webentwicklung-frage-antwort-db.com.de

Warum suchen Hacker nach offenen Ports?

Wenn Sie also von den kleinen Hackern hören, die Websites hacken , hören Sie von "Port-Scanning". Ich verstehe, was es ist (auf der Suche nach allen offenen Ports/Diensten auf einem Remote-Computer), aber das wirft die Frage auf:

Warum sollte ein Angreifer wissen wollen, welche Ports geöffnet sind?

Der einzige Grund, den ich dafür sehe, ist die Suche nach Diensten, die may oder may not haben Standardbenutzername und -kennwort OR eine Sicherheitslücke oder so.

Aber da die Chancen dafür recht gering sind, warum führen Hacker Port-Scans durch? Ist es nur aus dem oben genannten Grund?

20
Joseph A.
  • Um einen Exploit auszuführen, benötigt ein Angreifer eine Sicherheitsanfälligkeit.
  • Um eine Sicherheitsanfälligkeit zu finden, muss der Angreifer alle auf dem Computer ausgeführten Dienste mit einem Fingerabdruck versehen (herausfinden, welches Protokoll er verwendet, welche Programme sie implementieren und vorzugsweise die Versionen dieser Programme).
  • Um einen Dienst mit einem Fingerabdruck zu versehen, muss der Angreifer wissen, dass auf einem öffentlich zugänglichen Port ein Dienst ausgeführt wird.
  • Um herauszufinden, auf welchen öffentlich zugänglichen Ports Dienste ausgeführt werden, muss der Angreifer einen Port-Scan ausführen.

Wie Sie sehen, ist ein Port-Scan der erste Aufklärungsschritt, den ein Angreifer ausführt, bevor er ein System angreift.

52
Philipp

Bedenken Sie, dass ich Ihr Haus ausrauben möchte ... Dann würde ich nach einem Weg suchen, um hineinzukommen. Aber Ihr Haus hat Türschlösser, die nur Ihrer lokalen (Familie) den Zugriff ermöglichen, so dass ich nach anderen ähnlichen (Ports) Fenstern (anderen offenen öffentlichen Ports) suchen werde, um hineinzukommen. Und versuchen Sie, einige Daten zu erhalten. Wenn Ports für ssh/ftp geöffnet sind, versuchen sie, sie auszunutzen. Versuchen Sie, Dateien oder Bruteforce hochzuladen.

6
Girish

Wie Girish betont, ist ein Port-Scan wie das Verkleiden eines Hauses. Es ist eine sehr rauscharme Aktivität, wenn sie über das Internet ausgeführt wird, da Sie täglich Dutzende von Port-Scans sehen. Außerdem werden kleine Informationen über den Status Ihres Computers abgerufen, sodass die nächste Ebene des Angriffs noch besser angepasst werden kann.

Es ist auch spottbillig! Ein Port-Scan kostet den Angreifer fast nichts, und manchmal hat man Glück. In The Art of Intrusion gibt Kevin Mitnick Beispiele dafür, wo sich solche Angriffe im wirklichen Leben auszahlen. In einem einfachen System ist es einfach, alle Ports zu sperren. In einem komplizierteren IT-Netzwerk ist es schwieriger zu beweisen, dass es keinen geschäftslogischen Grund für einen offenen Port gibt, und die erste IT-Regel lautet: "Das Geschäft nicht verärgern", sodass sie möglicherweise offen bleiben. Mitnicks Buch gab das Beispiel eines Falles, in dem eine von der Jury manipulierte serielle Verbindung versehentlich dem Internet ausgesetzt war. Der Angreifer geht davon aus, dass es ein einmaliger Versuch war, ein Problem zu lösen, das nie abgebaut wurde, nachdem seine Verwendung nicht mehr erforderlich war. Jahre später war es tatsächlich der Angriffsvektor, der von den Hackern gefunden und ausgenutzt wurde.

Es gibt Situationen, in denen Port-Scans vermieden werden. Advanced Persistent Threats (APT) werden normalerweise im LAN ausgeführt. Während Port-Scans aus dem Internet eine tägliche Angelegenheit sind, sind Port-Scans aus dem LAN viel "lauter". Angesichts der Tatsache, dass APTs Stealth schätzen, vermeiden sie häufig Port-Scans, bei denen es sich unter anderen Umständen möglicherweise nur um zufällige Pot-Shots handelt, um festzustellen, ob man Glück hat.

3
Cort Ammon

Haben Sie jemals versucht, Netzwerkkommunikation mit einem Stein durchzuführen? Wie wäre es mit einem Netzwerkrouter ohne Strom? Es ist ziemlich langweilig, weil man keine Antwort bekommt.

Daher versuchen Angreifer, die gängigsten Netzwerkprotokolle wie TCP und UDP) zu verwenden, die Nummern verwenden, die als "Portnummern" oder "Ports" bezeichnet werden. ( SCTP verwendet auch Ports .)

Wenn ein Port geschlossen ist, gibt es normalerweise eines von zwei Ergebnissen: eine Antwort, die "Verbindung abgelehnt" anzeigt, oder überhaupt keine Antwort. Nun, eines dieser Ergebnisse ist weitaus weniger interessant als ein "offener" Port, was einfach bedeutet, dass der Angreifer eine andere Art von Antwort erhalten kann, wenn er versucht, mit dem Zielgerät zu interagieren.

Das Scannen von Ports kann sich auf das Scannen des gesamten möglichen Bereichs von Portnummern (0 bis 65535) oder einfach auf das Scannen aus einer Liste wahrscheinlicher Ports (z. B. 80, 443, 25, 22) beziehen, um festzustellen, welche IP-Adressen reagieren. IP-Adressen, die auf eine Portnummer reagieren, sind wahrscheinlich Ziele für Angreifer, um zusätzliche Anstrengungen zur Interaktion zu unternehmen, insbesondere wenn die Portnummer, die antwortet, die Nummer eines häufig verwendeten Standards ist (z. B. TCP Port) 80 ist der häufigste Port für HTTP.

(Obwohl Benutzer einen Port für einen anderen Zweck als den Standard verwenden können, ist dies eher ungewöhnlich, vor allem, weil viele Software alternative Portnummern nicht so einfach verarbeiten können. Beispielsweise ist der Standard für Webbrowser erforderlich Durch Hinzufügen eines Doppelpunkts und der Portnummer, wenn ein nicht standardmäßiger Port verwendet wird. Durch die Verwendung von Standardportnummern können Benutzer diese Informationen nicht mehr eingeben.)

Das Scannen eines Ports hat auch Vorteile gegenüber dem Versuch, komplexere Interaktionen durchzuführen, wie bei vielen Netzwerkangriffen. Die erforderliche Zeit und Bandbreite ist viel geringer, sodass das Scannen viel schneller durchgeführt werden kann als bei aufwändigeren Angriffen.

2
TOOGAM

Hacking hat eine "Entdeckungsphase". Während der Erkennungsphase ermitteln Sie so viele Informationen wie möglich über Ihr Ziel. Das Scannen von Ports ist nur ein Aspekt der Erkennung. Die meisten Programme werden auf ihrem Standardport ausgeführt. Wenn Sie also wissen, welche Ports geöffnet sind, erhalten Sie einige Informationen darüber, was auf dem Computer ausgeführt wird. Wenn Port 80 und 443 geöffnet sind, handelt es sich wahrscheinlich um eine Art Webserver. Dann entdecken Sie, welcher Webserver ausgeführt wird und welche Software der Webserver ausführt. Ein offener Port bedeutet, dass etwas auf diesem Port lauscht und dass Sie mit allem kommunizieren können, was auf diesem Port ausgeführt wird, was ein potenzieller Eintrag für einen Hacker ist. Das Ausprobieren von Standardkombinationen aus Benutzername und Passwort ist nur ein Teil des Hackens. Die Verwendung von Schwachstellen in Software, die auf dem Traget ausgeführt wird, ist ein weiterer Teil. Es ist ein guter erster Schritt, herauszufinden, welche Software das Port-Scannen ausführt. Wenn Sie nicht wissen, welche Ports geöffnet sind, wissen Sie nicht, an welche Ports Sie schädliche Pakete senden können.

0
mroman