2019-05-29 5 minutes

Portscan: Dein Computer ist ein Haus mit 65.535 Türen

Lässt du die Tür deiner Wohnung offen stehen?

Wir leben heute in einer komplett vernetzten Welt. Alleine in der letzten Stunde hat mein Laptop 100 Verbindungen aufgebaut:

Immerhin zwar keine nach China oder Russland dabei, aber dennoch: ich habe keine Ahnung was da alles im Hintergrund passiert. Die Wetter-App im Betriebsystem verbindet sich auf jeden Fall in die Niederlande.

Schön.

Aber wie funktionieren diese Verbindungen im Hintergrund überhaupt?

IP-Adressen

Dein Computer ist eigentlich wie ein Haus. So wie deine Wohnung eine Adresse hat, kann auch ein Computer adressiert werden. Das ist, was wir als IP-Adresse kennen.

So eine Adresse hat beispielsweise folgendes Format:

192.168.0.26

So weit, so gut. Das Thema ist natürlich noch viel größer, als ich das hier so einfach illustrieren könnte. In diesem Artikel geht es mir aber nicht um die Adresse des Hauses, sondern um die Türen. Diese heißen technisch gesprochen Ports.

Was ist also ein Port?

Der Computer lässt sich also mit einem Haus mit 65.535 Türen vergleichen. ein Port ist in diesem Vergleich eine dieser Türen.

Und was macht eine Tür? (keine Angst, ist kein Prüfungsstoff)

Durch eine Tür kann man zum Beispiel das Haus betreten, und es wieder verlassen. Ich weiß, das ist schon nah an der Raketenwissenschaft.

Genau so funktioniert es aber am Computer: Verbindungen (wie oben auf der Weltkarte) gehen allesamt bei bestimmten Ports ein und aus.

Die Betonung liegt hier auf bestimmten Ports. Es gibt nämlich ein paar Ports, die werden bevorzugt für mehr oder weniger bekannte Dienste verwendet.

Was verbirgt sich dann hinter einem Port?

Als du diesen Blogartikel aufgerufen hast, hat sich dein Browser zu meinem Webserver verbunden. Und zwar zum Port 443. Der Port mit der Türnummer 443 wird hauptsächlich für sichere HTTP-Verbindungen verwendet. Unsichere HTTP-Verbindungen liegen meist auf Port 80.

Die Liste an möglichen und teilweise standardisierten Ports ist sehr lange. Wer schon mal mit einem FTP zu tun hatte – das ist der Port 21.

Und wer im Jahr 2017 von der NSA gehackt wurde, bei dem ist das sehr wahrscheinlich über den Port 445 (Die Windows Dateifreigabe) passiert.

Könnte man dann umgekehrt auch herausfinden, was auf einem Computer läuft, indem man sich einfach zu einem Port verbindet?

Goldrichtig. Das ist genau das, was ein Portscan macht.

Einfach mal anklopfen

Ein Portscan geht von Tür zu Tür – und klopft einfach mal.

Portscan, ca. 200 v. Chr.

Hinter manchen Türen sitzen freundliche Programme, die sofort die Tür öffnen und eine Verbindung aufbauen (wie zum Beispiel bei einer Webseite).

Bei anderen Türen bekommt unser Portscan gar keine Antwort. Vielleicht wohnt dort niemand. Der Portscan zieht weiter.

Vor manchen Türen steht jedoch ein Bodyguard:

Eine Firewall kann manche Verbindungen blockieren – auch wenn der Port prinzipiell offen ist. Aber das sehen wir uns ein anderes Mal an.

Aber warum würde ich dir mehrere Minuten dieses Prinzip erklären, wenn es nicht ein spannendes Einsatzgebiet hätte?

Portscans im Hacking

Neben einigen offiziellen Anwendungsmöglichkeiten werden Portscans gerne von Hackern eingesetzt.

Ich habe tatsächlich mal einen Rechner im Büronetzwerk verloren. Ich wusste die IP-Adresse nicht, und da der Rechner weder Tastatur noch Bildschirm hat, konnte ich auch nicht einfach nachsehen, ohne technisches Gerät herumzutragen.Mit einem Portscan hab ich ihn dann gefunden.

Wie sieht so etwas aus? Ich verwende hierfür das Tool nmap und scanne meinen Server. Der ist nur intern bei uns erreichbar. Manche der jetzt sichtbaren Dinge wären ein Risiko, wenn diese frei im Internet hängen würden.

Aber gut, starten wir los:

Starting Nmap 7.70 ( https://nmap.org ) at 2019-05-29 11:31 CEST
Nmap scan report for 192.168.8.105
Host is up (0.012s latency).
Not shown: 993 closed ports

PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
443/tcp open https
548/tcp open afp
3261/tcp open winshadow

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Das Ding hat nun 1000 der häufigsten Ports gescannt (alle 65.535 würden ewig dauern). Von denen haben wir 7 offene Ports gefunden. Hier hat uns also jemand geantwortet.

Wir haben hier 80 und 443 auf der Liste. Da könnten wir zum Beispiel vermuten, dass auf dem Ding auch eine Webseite läuft. Ein DNS-Server läuft auf 53.

Viel interessanter jedoch ist:

Wir können nicht nur sagen WAS auf dem Computer läuft, sondern oft auch welches Programm in welcher Version.

Information ist beim Hacken alles. Wenn mir dieser Portscan mitteilt, dass die Webseite über einen Server ausgeliefert wird, der die Shellshock-Verwundbarkeit (gut, die ist schon sehr alt). aufweist, kann ich den Rechner mit wenigen Befehlen übernehmen. Der Link zu dem Programm, das man ausführen müsste ist frei im Internet zugänglich.

Genau das scheint bei meinen Spammern passiert zu sein.

Shodan.io

Irgendjemand muss es immer übertreiben. Im Bereich Portscannen ist dies das Projekt Shodan. Die scannen 1 Mal im Monat das gesamte Internet. Und stellen uns allen die Ergebnisse zur Verfügung. Unter shodan.io kannst du jede beliebige IP-Adresse eingeben, und bekommst den Portscan dazu.

Und weil man eben mit einem Portscan auch die Versionen der Programme dahinter rausfindet, ist in Shodan von der Überwachungskamera, die eben im Internet hängt bis zur industriellen Anlage alles zu finden.

Hier zum Beispiel zwei industrielle Anlagen, die im Internet hängen:

Auch Computerspiel-Server sind hier zu finden. Counter-Strike läuft anscheinend auf Port 27015. Wieder was gelernt.

Fazit

Auf deinem Privatrechner oder -handy musst du dir nicht unbedingt Sorgen über offene Ports machen.

Aber wenn in deinem Unternehmen bestimmte Ports nach außen hin offen sind, so kann das einer Einladung gleichkommen. Wenn du deine Unternehmens-IP-Adresse weisst, würd ich die mal auf Shodan eingeben. Man weiß ja nie.

Du lässt in deinem Haus ja auch nicht alle Türen offen stehen.

Feedback or questions?

Write to me on social media or email:

Don't miss any posts!

Sign up now and receive weekly hacks of the week, as well as new blog posts!

...or directly to the initial consultation:

In the initial consultation, you will get to know me and my philosophy, and we will briefly discuss how I can help you. So you and your company:

  • Become safer
  • Are quickly operational again in extreme cases
  • Don't have to be relieved with every article about hacking, glad that it wasn't you this time
Book a free initial consultation now!

Hacking-
Incident?