Heimliche Scans und falsche Fährten

Mit den so genannten Idle-Scans ist es möglich, scheinbar unmögliches zu realisieren: herauszufinden, ob auf einem Rechner im Internet ein Dienst aktiv ist oder nicht, ohne ihn selbst anzusprechen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 7 Min.
Inhaltsverzeichnis

Ein Port-Scan stellt fest, auf welchen Ports eines Systems Dienste lauschen, die Pakete entgegennehmen. Sie ähneln in der Funktionsweise den Klingelstreichen von Kindern: Kommt eine Antwort, ist jemand zuhause. Anders als die Klingelputzer sind jedoch Einbrecher nicht an großem Getöse interessiert. Insbesondere wollen sie vermeiden, dass ihre IP-Adresse, die sich im Zweifelsfall zu ihnen zurückverfolgen lässt, in irgendwelchen Log-Dateien auftaucht. Deshalb wurden im Lauf der letzten Jahre verschiedene Scan-Techniken entwickelt worden, die weniger "Lärm" verursachen.

Die grundsätzliche Funktionsweise ist immer gleich: Der Scanner sendet ein Paket an einen Port und registriert etwaige Antworten darauf. Primitive Scans bauen eine richtige Verbindung auf, deren Verursacher dann oft schon in den Log-Dateien des angesprochenen Dienstes auftaucht. Deshalb brechen sogenannte SYN- beziehungsweise halb offene Scans den aus drei Schritten bestehenden Verbindungsaufbau (TCP Three Way Handshake) nach dem zweiten Schritt ab. So kommt keine Verbindung und auch kein Log-File-Eintrag zustande.

Dazu sendet der Scanner ein TCP-Paket mit einer Aufforderung zur Synchronisierung (gesetztes SYN-Flag) an den Server. Läuft dort ein Dienst auf dem angesprochenen Port, bestätigt das Betriebssystem den Eingang (ACK-Flag) und bittet seinerseits um Synchronisierung (SYN-Flag). Läuft kein Dienst auf dem Port schickt es statt dessen ein Reset (RST-Flag). Wertet der Empfänger die Antwort-Pakete aus, hat er bereits die gewünschte Information und kann das ACK-Paket weglassen, mit dem die Verbindung dann zustande käme.

Mittlerweile erkennen jedoch Intrusion Detection Systeme und (Personal) Firewalls auch solche SYN-Scans und registrieren die IP-Adresse des Verursachers. Das gleiche gilt für die so genannten FIN-, XMAS- und NULL-Scans, die mit speziellen Kombinationen der verschiedenen TCP-Flags arbeiten. Diese registrieren zum Beispiel verdächtige Häufungen von Paketen an verschiedene Ports. Manche IDSe arbeiten auch mit Trigger-Ports, die normalerweise nicht genutzt werden. Und es gibt auch bereits Ansätze, die versuchen Port-Scans als statistische Anomalie zu erkennen.

Um die eigene IP-Adresse nicht zu verraten, werden Port-Scans oft sehr langsam und in zufälliger Reihenfolge durchgeführt. Kommt nur jede Stunde ein solches Paket an, sind die Chancen gut, dass es der Aufmerksamkeit des Wächters entgeht. Ein Paket an einen Trigger-Port löst aber unter Umständen trotzdem Alarm aus.

Auch die entgegengesetzte Strategie kommt zum Einsatz: Scanner versuchen die eigenen Spuren in einer Flut von vorgetäuschten Scans zu verbergen. Dazu schickt der Scanner riesige Mengen von Paketen mit gefälschten Absenderadresse an den Server. Der Haken dabei: die Antwortpakete gehen an die vorgetäuschte Adresse, der wahre Absender erfährt nichts über den Status des abgefragten Ports. Deshalb muss mindestens eines der Pakete die richtige Adresse tragen.