Morgen,
wie definierst Du eigentlich ‚portscan‘?
Portscan ist das abfragen von allen oder nur bestimmten ports eines rechners nach laufenden diensten die auf anfragen warten. Dies kann wie du schon festgestellt hast natürlich auch sehr wohl zu reinen Informationszwecken dienen.
Der Portscan liefert mir dann eine auflistung der laufenden dienste ggf auch mit deren Identifikation (version etc.)
Mit einem Portscan kann man auch keine Schwachstellen finden.
hier muss ich etwas hinzufügen. Gibt der mailserver seine versionsnummer bei der abfrage heraus (was bei standard distris von linux üblich ist) kann der ‚Angreifer/Scanner/wasauchimmer‘ anhand der versionsnummer überprüfen ob es hierfür einen exploit gibt.
Ja und nein. Viele Programme für Portscans geben nicht nur aus
das Port Nummer X offen ist sondern auch was der Dienst oder
Programm der darauf lauscht für einer ist (z.B. bestimmte
Trojaner aber auch Mailserver, webserver usw.)
Ja. Sonst wuerde ich es gar nicht portscanner nennen. Wenn
dort ein mailserver laeuft, kann es durchaus interessant sein,
was es fuer einer ist. Wenn dort ein Trojanisches Pferd
laeuft wuerde ich (also, ich jetzt) mich erstmal fragen, was
der dort zu suchen hat, wie der da hinkommt, warum ihn der
Administrator des Rechners installiert hat und ihn ggf. davon
in Kenntnis setzen.
Hmm diese Aussage nehme ich dir nur ab sofern du einen festen Rechner scannst (Webserver, FTP, etc)
Bei einem Dial up wird es dir im regelfall nicht möglich sein denjenigen zu benachrichtigen. Du müsstest seinen Trojaner ausnützen um evtl. an seine E-Mail zu kommen.
Bitte beachte wir sprechen hier von einem privaten Surfer! nicht von Servern die fest im Internet stehen. Ein Privatbenutzer hat seltener nen eigenen Webserver auf seiner Kiste laufen. Wir gehen hier von Otto-Normalo aus! nicht von freaks und geeks!
Erfolgt ein scan im ip range von T-online für Dialup Kunden ist dies für mich im Regelfall ein Versuch eine Schwachstelle zu finden um meinen Rechner zu übernehmen und oder ihn als Spamverteiler zu nutzen.
Davon sollte man in beschriebener Situation ausgehen.
Wird mein Server hier in der arbeit gescannt ist, ist die Lage gleich eine andere.
sehr blauäugig. Nur weil etwas nicht geschützt ist ist der
zugriff erwünscht?
Aeh… ja. Wozu sollte es sonst da sein?
Ok das nächste mal wenn du vergisst deine haustür abzusperren
hast du also nicht dagegen wenn ich mal rein bischen mich in
deinem haus umsehe?
Lasse Deine Haustuer offen und Dir die Bude ausraeumen.
Anschliessend versuche Polizei und Versicherung klar zu
machen, dass der Unhold das nicht durfte und verlange
Verfolgung/Schadenersatz. Du bist dafuer verantwortlich, dass
die Tuer zu ist bzw. Dein Rechner keine Dienste oeffentlich
anbietet, die von anderern nicht genutzt werden sollen.
Der Unhold macht sich dennoch strafbar, unabhängig davon ob ich schuld habe oder nicht! Aber ich gebe zu das beispiel war unglücklich gewählt
Portscans sind völlig legal und können immer gemacht werden. Es
wird haltmanchmal nicht gern gesehen. Aber trotzdem kann mich
keiner davon abhalten, wenn ich es für richtig halte, zu scannen.
Es kann dich auch niemand davon abhalten kleine Kinder zu
entführen oder das nächste auto zu verkratzen´
Gegen das gibt es staatliche Gesetze. Portscans kann maximal
der eigene provider einen Riegel vorschieben, indem er in
seinen AGBs selbige ausdruecklich verbietet.
Gesetzte hin oder her, ich kann es dennoch machen wenn ich will, erwischen lassen ist wieder eine ganz andere sache. Ein gesetz hält mich nicht davon ab etwas zu tun es sagt nur das ich es eigentlich nicht darf und eine strafe zu erwarten habe wenn ich dabei ertappt werde.
Natürlich scanne ich möglichst keinen fremden Rechner ohne
Erlaubnis, weil es halt nicht höflich ist.
jap es könnte auch als angriff gedeutet werden
Nein. Ein Angriff ist z.~B. die Stoerung des normalen
Netzbetriebs (das _kann_ bei einem portscan passieren, aber es
gibt effizientere Wege dafuer). Der Schluss ‚portscan ->
Angriff‘ ist schlicht falsch.
bitte lies richtig. ich habe geschrieben ‚auch‘ was nicht gleichbedeutend ist mit ‚muss‘!!
Portscanner sind in erster Linie unverzichtbare Werkzeuge für
Systemadmins und keine Evil Toolz for l337 h4xorZ. Mit der
gleichen Begründung könnte ich sonst sogar Visual Basic und
Word for MacOSX zum Hackertool erklären.
naja nun übertreib mal nicht. Portscans sind mitlerweile wohl
eher von Scriptkiddies verursacht die nicht anderes wollen als
mal ein anderes system fernsteuern und oder schaden
anzurichten.
Ja? Und?
das eindringen in fremde rechner systeme ohne erlaubnis des betreibers/eigentümer ist eine strafbare handlung
Das betreiben eines Webservers ist als Erlaubnis zu werten diesen zu benutzen aber auch nur im bestimmungsgemäßen sinn.
Was hat ein Admin in der IP Range von $PrivatProvider zu
scannen?
Es gibt ziemlich einfache Wege, sowas zu detektieren, zu
unterbinden und zu stoeren. Wenn $PrivatProvider das nicht
wuenscht…
damit meinte ich eigentlich die dialup netze von Providern wie T-Online Arcor oder Freenet. Die firmen unternehmen nichts dagegen, warum sollten sie? es kann ja durchaus berechtigt sein.
Nur entgeht mir schlicht und ergreifend der sinn einen T-Online Kunden abzuscannen, ausser ich habe vor einen evtl. vorhandenen Trojaner zu nutzen. Studienzwecke und neugierde mal aussen vor gelassen!
Klar, vielen Angriffen geht ein Portscan voraus. Aber einem
Portscan folgen meist keine Angriffe.
wiederspruch in sich.
Nein. In die Richtung ‚Angriff -> vorheriger portscan‘ ist
das okay, aber ‚portscan -> nachfolgender Angriff‘ nicht.
du scheinst ein problem mit ‚auch‘ ‚meist‘ ‚könnte‘ zu haben.
Folgt einem Portscan kein Angriff hat a) jemand mit einem
Portscanner mal eben rumgespielt b) sich einer beim arbeiten
vertippt oder c) der ‚angreifer‘ keinen offenen Port gefunden
der ihn interessiert.
d) Er geht schlicht seinem Job nach.
Es ist niemandem sein job Dial Up Kunden mit portscans zu belästigen.
e) Er will einfach nur wissen, was der Rechner fuer ihn zu
bieten hat.
Wozu? achso die tausende portscans im inet sind alle nur für Diplomarbeiten keinenfalls für bösartige absichten. verstehe!
Das wir uns hier richtig verstehen, ein portscan hat durchaus eine Berechtigung, aber ist ein Scan auf Dial Ups doch eher der Kategorie ‚Böse Absichten‘ zuzuordenen da du als Scanner im Regelfall keine möglichkeit hast dem gescanntem eine nachricht zu hinterlassen.
Bei einem server sind in den diversen Diensten normalerweise addressen hinterlegt womit der admin kontaktiert werden kann.
zu mal für deine statistik
auf einem meiner betreuten server ist eine Fake-Trojaner Umgebung installiert. D.h. der Portscanner glaubt einen Trojaner entdeckt zu haben und versucht diesen auszunutzen. Das system wiederrum gauckelt dem anderen vor erfolg zu haben und präsentiert mir die kläglichen versuche des Angreifers
98% der portscans auf diesen server resultieren in einen angriff! Und nein keiner hat mich bisher kontaktiert!
Wird mein Privatrechner daheim gescanned muss ich davon ausgehen das der Ausführende böse absichten hat. Gesundes Misstrauen ist im Internet leider mehr als angebracht.