Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

Portscans und andere Verbindungsversuche aus dem Internet

Einführung

Wenn Sie eine Personal Firewall auf Ihrem PC installiert haben, kennen Sie sicher die Meldungen über Angriffe aus dem Internet. Auch die DSL-Router vieler Hersteller schreiben ihre Logs mit solchen Meldungen voll. Es gibt sogar Router, die Signalisieren diese abgewehrten "Hackerangriffe" mit einer eigenen LED.

Aber was sind das für Zugriffe? Warum wird ausgerechnet Ihr PC angegriffen? Sehen wir uns zunächst die Hintergründe an.

Grundlagen Portnummern

Die Portnummer ist eine Art Dienstekennung in TCP/IP-Netzen. Sie wird beim Verbindungsaufbau zusätzlich zur IP-Adresse angegeben und bezeichnet den gewünschten Dienst. Jedem Dienst ist eine feste Nummer zugeordnet. So ist der TCP-Port 80 für HTTP (Webserver) reserviert. Bietet eine Station einen bestimmten Dienst an, so ist der entsprechende Port im Status LISTEN (offen, abhören). Die Portnummer wird für die beiden Protokolle UDP und TCP getrennt geführt. Es gibt also auf jedem PC 2 mal 65535 Ports.

Portscans

Da jeder Dienst, der im Internet angeboten wird, ein potentielles Einfallstor für Angreifer ist, scannen einige Leute das Internet nach Maschinen mit offenen Ports. Ein solcher Portscan erfolgt in der Regel automatisiert. In den entsprechenden Tools muss nur ein mehr oder weniger großes IP-Netz angegeben werden. Diese Tools untersuchen dann alle IP-Adresse im angegeben Netz nach offen Ports und bekannten Sicherheitslücken. In den Netzen der großen Internet Provider sind mehrere Zugriffsversuche pro Minute vollkommen normal.

Personal Firewalls wie Kerio, ZoneAlarm oder Symantec Norton Internet Security protokollieren nun diese Zugriffe in ihren Logfiles. Solange es beim Versuch eines Zugriffes bleibt, sind diese Scans vollkommen harmlos. Über den Nutzwert solcher Desktop Firewall informiert die FAQ der Newsgroup de.comp.security.firewall (siehe unten).

Auch das von der Firewall oft angezeigte Ping (ICMP Echo Request) auf den eigenen PC oder Router ist harmlos.

Würmer und File Sharing

Eine weitere Ursache für die andauernden Verbindungsversuche sind Würmer, Viren und andere Malware. Diese versuchen sich selbständig zu verbreiten und weitere Systeme über bekannte Sicherheitslücken zu infizieren. Auch diese Zugriffsversuche stellen für ein ordentlich gesichertes System keine Bedrohung dar.

File Sharing Programme wie Emule und Kazaa können eine weitere Ursache für Logeinträge in der Firewall sein. Bekommen Sie zum Beispiel für Ihre DSL-Verbindung vom Provider eine IP-Adresse zugewiesen, die den Tag vorher von einem Emule-Nutzer in Gebrauch war, werden Sie viele Zugriffsversuche auf den von Emule genutzten Ports sehen. Die anderen Emule-Clients haben sich die IP-Adresse gemerkt und versuchen jetz, sich mit Ihnem PC zu verbinden.

Weiterführende Informationen

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012