Wat is een poortscanaanval op een computer?

Internetnetwerken gebruiken het concept van poorten om onderscheid te maken tussen verschillende programma's of services die zich op hetzelfde IP-adres bevinden. Een computer kan bijvoorbeeld tegelijkertijd een webserver en een FTP-server gebruiken met respectievelijk poort 80 en 21. Een poortscanaanval vindt plaats wanneer een computer de poorten van een andere computer scant in een poging te bepalen welke services op de externe computer worden uitgevoerd met het oog op uitbuiting.

Lineaire poortscan

Een lineaire poortscan omvat het scannen van elke poort op een systeem. Internet Protocol-poorten gebruiken een 16-bits nummeringssysteem, wat betekent dat er in totaal 65.536 poorten op één IP-adres kunnen staan. Een liner-poortscan scant al deze poorten om te zien welke open, gesloten of verborgen zijn.

Willekeurige poortscan

Een willekeurige poortscan is qua concept vergelijkbaar met een lineaire poortscan. Bij een willekeurige poortscan wordt echter alleen een bepaald aantal willekeurige poorten gescand in plaats van alle beschikbare poortnummers. De reden hiervoor is om de scan te versnellen, vooral wanneer de aanvaller meerdere computers scant om kwetsbaarheden te vinden. Bij een willekeurige poortscan zal de aanvaller die computer verder onderzoeken als een van de gescande poorten open blijkt te zijn.

Bekende servicepoortscan

Veel diensten draaien op bekende "bekende" poorten, zoals poorten 25 en 110 voor e-mail, 21 voor FTP en 80 voor internet. Een poortscan die alleen op bekende poorten is gericht, is qua concept vergelijkbaar met een willekeurige poortscan, behalve dat de poortnummers vooraf zijn gedefinieerd in plaats van willekeurig. Net als bij een willekeurige poortscan zal de aanvaller de computer verder onderzoeken als een van de geteste poorten open blijkt te zijn.

verkenning

Nadat de gespecificeerde methode voor het scannen van poorten is voltooid, bekijkt de aanvaller de resultaten en onderzoekt hij de computers met open poorten verder. Als een poort open blijkt te zijn, betekent dit dat er een soort service op die poort wordt uitgevoerd en dat de kans bestaat dat de aanvaller deze kan misbruiken om op afstand toegang te krijgen tot het computersysteem. Met een goede toegangsexploitatie kan een aanvaller mogelijk de controle over het computersysteem krijgen.