Eigentlich ist die Überschrift "Risiko" nicht ganz korrekt, denn eine konkrete Gefahr geht von einem Portscan alleine nicht aus. Ich lese häufiger die Threads besorgter User in Foren, in dem sie erzählen, das ihr PC / Server gerade "Opfer" eines Portscans geworden ist. Nachdem ich heute von einem Freund ähnliches gefragt worden bin, möchte ich im Folgenden die Frage beantworten, was ein Portscan ist und ob ein Portscan etwas gefährliches ist.
Eine kurze Erinnerung an meinen Post Grundlagen: Netzwerke: Hinter einem Port steckt ein Service der von dem IT-Gerät angeboten wird.
Was ist ein Portscan?
Ein Portscan ist eine (meist automatisierte) Prüfung, ob ein Service hinter einem Port angeboten wird. Theoretisch wären einige Funktionen eines Portscanners auch manuell möglich: Um zu prüfen, ob an der Adresse 192.168.0.16 beispielsweise ein MySQL Server auf Befehle wartet, könnte man einfach einen SQL Client starten und eine Verbindung zum Server aufbauen. Bei einem MySQL Server würde auch die Browserabfrage http://192.168.0.16:3306/ ausreichen, um folgende Antwort zu erhalten:
5.5.31-0ubuntu0.12.04.2 (...) mysql_native_password (...)
Der Port 3306 ist der Standardport eines MySQL Servers, in den Konfigurationsdateien des Servers lässt sich dieser jedoch auch verändern.
Die Arbeit all dieser manuellen Schritte lässt sich mit Hilfe eines Portscanners automatisieren, so wäre es etwa möglich, sich alle Services anzeigen zu lassen, die auf den Ports 5-1000 lauschen.
Einige rechtliche Anmerkungen zu Portscans
Bevor wir zu den technischen Details kommen, ein Hinweis: Ein Portscan lässt sich in den Protokollen eines Servers sehr leicht identifizieren. Ein Portscan gegen ein fremdes System stellt aus Sicht einiger Juristen die erste Instanz eines Einbruchsversuchs dar und ist daher rechtlich umstritten. Portscans sollten also ausschließlich auf eigenen Systemen oder auf Systemen durchgeführt werden, von denen ihr vom Besitzer zuvor eine Erlaubnis eingeholt habt.
In der Praxis sind Portscans etwas alltägliches, wer einen Rootserver im Internet betreibt, wird dies wissen. Würde ich wegen jedem Portscan eine Abuse-Meldung an den Provider des Urhebers senden, würde ich wahrscheinlich nichts anderes mehr tun. Aus meiner Erfahrung werden Abuse-Meldungen die mit Portscans zu tun haben, von den meisten Providern bzw. Hostern nicht weiter verfolgt. Technisch gesehen ist ein Portscan nichts weiter als ein Mechanismus, der an eine Tür klopft und auf eine Reaktion wartet. Er tritt nicht hinein, überwindet keine Schutzmaßnahmen und verändert keine Daten.