Portscans und andere Verbindungsversuche aus dem Internet
Einführung
Wenn Sie eine Personal Firewall auf Ihrem PC installiert haben, kennen Sie sicher
die Meldungen über Angriffe aus dem Internet. Auch die DSL-Router vieler Hersteller
schreiben ihre Logs mit solchen Meldungen voll. Es gibt sogar Router, die Signalisieren
diese abgewehrten "Hackerangriffe" mit einer eigenen LED.
Aber was sind das für Zugriffe? Warum wird ausgerechnet Ihr PC angegriffen?
Sehen wir uns zunächst die Hintergründe an.
Grundlagen Portnummern
Die Portnummer ist eine Art Dienstekennung in TCP/IP-Netzen. Sie wird beim Verbindungsaufbau
zusätzlich zur IP-Adresse angegeben und bezeichnet den gewünschten Dienst. Jedem Dienst ist
eine feste Nummer zugeordnet. So ist der TCP-Port 80 für HTTP (Webserver) reserviert.
Bietet eine Station einen bestimmten Dienst an, so ist der entsprechende Port im Status LISTEN
(offen, abhören).
Die Portnummer wird für die beiden Protokolle UDP und TCP getrennt geführt. Es gibt also auf jedem
PC 2 mal 65535 Ports.
Portscans
Da jeder Dienst, der im Internet angeboten wird, ein potentielles Einfallstor für Angreifer ist,
scannen einige Leute das Internet nach Maschinen mit offenen Ports. Ein solcher Portscan erfolgt in der Regel
automatisiert. In den entsprechenden Tools muss nur ein mehr oder weniger großes IP-Netz angegeben werden.
Diese Tools untersuchen dann alle IP-Adresse im angegeben Netz nach offen Ports und bekannten Sicherheitslücken.
In den Netzen der großen Internet Provider sind mehrere Zugriffsversuche pro Minute vollkommen normal.
Personal Firewalls wie Kerio, ZoneAlarm oder Symantec Norton Internet Security protokollieren
nun diese Zugriffe in ihren Logfiles.
Solange es beim Versuch eines Zugriffes bleibt, sind diese Scans vollkommen harmlos.
Über den Nutzwert solcher Desktop Firewall informiert die FAQ der Newsgroup de.comp.security.firewall
(siehe unten).
Auch das von der Firewall oft angezeigte Ping (ICMP Echo Request) auf den eigenen PC oder Router ist harmlos.
Würmer und File Sharing
Eine weitere Ursache für die andauernden Verbindungsversuche sind Würmer, Viren und andere Malware.
Diese versuchen sich selbständig zu verbreiten und weitere Systeme über bekannte Sicherheitslücken
zu infizieren.
Auch diese Zugriffsversuche stellen für ein ordentlich gesichertes System keine Bedrohung dar.
File Sharing Programme wie Emule und Kazaa können eine weitere Ursache für Logeinträge in der Firewall
sein. Bekommen Sie zum Beispiel für Ihre DSL-Verbindung vom Provider eine IP-Adresse zugewiesen,
die den Tag vorher von einem Emule-Nutzer in Gebrauch war, werden Sie viele Zugriffsversuche auf den von
Emule genutzten Ports sehen. Die anderen Emule-Clients haben sich die IP-Adresse gemerkt und versuchen
jetz, sich mit Ihnem PC zu verbinden.
Weiterführende Informationen
Weiterführende Informationen finden Sie unter folgenden Links:
|