Was leisten Port-Scanner?

Tools zur Erkennung

• verschiedene Logging-Tools
• benötigen Zugriff zu allen Paketen, die eine Maschine empfängt (Linux: raw socket interface)
• Prinzip: Erkennen von Scan-Mustern
• innerhalb einer bestimmten Zeit erfolgen Zugriffe auf eine bestimmte Menge verschiedener Ports
• Probleme:
• vermeintliche Scans (z.B. viele kleine Files per passive mode ftp)
• spoofed source address (decoy scans)
• verzögerte Scans
• massenhafte Log-Einträge (DoS-Attacke möglich)
• Tools:
• scanlogd
• sehr robust, portabel
• nur TCP
• sparsame Log-Einträge

Apr 14 17:14:04 localhost scanlogd: 134.109.72.1:47714 to 134.109.200.26 ports 1, 2, 3, 4, 5, 6, ..., fSrpauxy, TOS 00, TTL 39 @17:14:04

• bei 5 Scans innerhalb 20 Sekunden wird Logging eingestellt
• iplog
• Linux only
• Familie von Logging-Tools
• Logging für
• TCP-Verbindungsaufnahmen
• TCP Stealth Port-Scans
• UDP (u.a. traceroute-Erkennung)
• ICMP (u.a. Erkennung von smurf-Attacken)
• Anwendungsprotokolle (http, ftp) mit identd-Nutzung
• DoS-anfällig: erzeugt massenhafte Log-Einträge
• gabriel, courtney, klaxon, tocsin, clog, ...

Abwehrmöglichkeiten

• für einzelne Hosts: keine
• für Netzwerke: Firewall (Application Level Gateway)
• Portscans sollten damit weitestgehend vermeidbar sein
•  jedoch existieren genügend Techniken, um Firewalls zu durchbrechen
• Konsequenz: Maßnahmen zur Absicherung jedes einzelnen Hosts