Eenportscanner is een computerprogramma dat op verschillende manieren probeert te achterhalen welkeTCP- en UDP-poorten op een computer bereikbaar zijn. Er kunnen verschillende redenen zijn om dit te doen. Ook zijn verschillende mechanismen in gebruik, zoals SYN-scanning en ACK-scanning. De juridische status van het uitvoeren van een portscan richting een computer die eigendom is van iemand anders is enigszins omstreden, daar het gezien kan worden als een strafbare voorbereidingshandeling voor een cyberaanval.[1]
Een bekende portscanner is het programmanmap.
Intrusion detection systemen zijn ontwikkeld om onder meer poortscans te herkennen.
Portscanners zijn belangrijke gereedschappen voor systeembeheerders en computerveiligheidsadviseurs, omdat deze scans een objectief beeld opleveren van de beveiliging van netwerken en individuele computers. Er zijn dan ook verschillende bedrijven en organisaties die netwerk- en poortscanners leveren of scans als service via het web aanbieden.[2][3][4][5][6][7][8][9][10][11] Ook aanbieders van online diensten, zoalsIRC-aanbieders gebruiken portscans om vast te stellen of cliënten gebruikmaken vanopen proxy's.[12]
Daar de portscanner effectief aan achterdeuren rammelt om te zien of er niet ergens een deur open staat, kan het gebruik van deze software in sommige gevallen ook worden gezien als een strafbare voorbereidingshandeling. Dit geldt echter alleen als eveneens sprake is van een strafbare handeling zoalscomputervredebreuk (art. 138ab, lid 1Wetboek van strafrecht; art. 144a, lid 1Wetboek van Strafrecht BES), want de portscan zelf is niet strafbaar.
Veel portscans zijn echter niet direct afkomstig van kwaadwillenden, maar vanwormen envirussen op geïnfecteerde computers, die op deze manier doelwitten voor besmettingen proberen te identificeren. Bij deze laatste vorm worden veelal alleen specifieke poorten gescand.
Bij een TCP scan worden de diensten van het besturingssysteem gebruikt om te proberen een verbinding met een andere computer op te bouwen. Als de verbinding is opgebouwd (na eenthree-way handshake), verbreekt de scanner de verbinding. Het voordeel is dat de operator geen systeemprivileges hoeft te bezitten en de gebruikte software erg eenvoudig is. Het gebruik van besturingssysteemroutines verhindert echter dat de gebruiker gebruikte TCP-pakketten kan manipuleren.
Een SYN-scan, ook wel bekend alshalfopen scan maakt gebruik van specifieke, vaak gemanipuleerde TCP-pakketten. Nadat het doelwit met eenACK heeft gereageerd op het verzoek een verbinding te openen (met eenSYN-pakket), wordt eenRST (reset) pakket verzonden. Hierdoor wordt dethree-way-handshake niet voltooid en wordt de verbinding nooit helemaal geopend. Vandaar de naam.
EenACK scan is een vrij specifieke tool waarmee niet de beschikbaarheid van een poort, maar de achterliggende firewall wordt getoetst. Deze vorm van scannen is gebaseerd op het feit dat eenvoudige firewalls inkomende verbindingen herkennen aan hetSYN-pakket en reeds opgebouwde verbindingen negeren. Door nu domweg hetSYN pakket achterwege te laten en te doen alsof er reeds een bestaande verbinding is, kunnen conclusies over de regels van de desbetreffende firewall worden achterhaald. Dit werkt echter alleen als de firewall software nietstatefull is, dat wil zeggen geen interne informatie over de toestand van verbindingen bijhoudt. Moderne firewall software is over het algemeen echter statefull, waardoor deze manier van scannen niet erg nuttig meer is.
Omdat veel firewalls hetSYN-pakket gebruiken om inkomende verbindingen te detecteren en zo nodig te blokkeren, is een alternatief bedacht dat zich baseert op een verschillende behandeling van hetFIN-pakket, dat bij normaal gebruik het einde van een TCP verbinding aankondigt. Gesloten poorten reageren op eenFIN met eenRST-pakket, terwijl open poorten het pakket negeren. Deze techniek werkt echter niet bij sommige besturingssystemen die het verschil tussen open en gesloten poorten negeren en altijd eenRST pakket sturen (zoals verschillende versies vanMicrosoft Windows) en systemen die zijn uitgerust metstatefull packet filtering, zoalsLinux die per pakket kunnen bekijken of het onderdeel is van een reeds bestaande verbinding.