Zitat:
Aber wie genau kann man rausfinden, ob (und vielleicht auch welches programm) Ports abgehorcht werden?
Das ist teilweise möglich und wird ja durch schon existierende Lösungen auch bewiesen.
Die meisten FireWalls unterstützen Remote Administration. Es ist nun üblich das nachdem ein Client einen Server connected hat, der Server einen String sendet, zB. sowas wie "MS
FTP" oder ähnliches, abhänig vom Protokoll. Kennt man nun den RAdmin Port der FireWall und sollte dieser fest sein, kann man versuchen auf diesem Port zu verbinden. Die FireWall wird sich in den meisten Fällen zu erkennen geben.
Desweiteren gibt es zB. bei einem ICMP Ping sehr viele Einstellungsmöglichkeiten im
TCP/
IP Frame. Bestimmte Programme nutzen ganz spezielle Bits und Bytes in diesem
TCP/
IP Frame. Anhand dieser Informationen kann man erkennen mit welchem Tool man es zu tun hat. Zb. wird ein ICMP abgesetzt, dann wird es durch die FireWall abgearbeitet und eventuell ins LAN weitergeleitet. Das LAN antwortet, und die FireWall filtert wieder. Bei dieser Filterung wird das ICMP Packet nicht direkt durchgelassen, sondern gemappt. Dieses Mapping setzt ganz bestimmte Bits und Bytes im Packet. Aufgrund dieser Informationen kann man abschätzen welcher Client am Port lauscht.
Einen generischen und universellen Ansatz kann es aber dafür nicht geben. Du solltest auch mal hier reinschauen
http://www.iana.org/assignments/port-numbers, IANA legt zumindestens für die Standardports bis 1024 fest welcher Client auf welchem Port zu ereichen sein sollte. Abhänig vom Client weiß man also welches Protokoll sich hinter dem Port verbirgt. Die meisten Protokolle unterstützen auch eine Identifizierung der Software bzw. Protokollversion.
Das funktioniert aber nicht universell und mit jeder Software. Zb. meine Server sind immer so konstruiert das der Client der verbindet, einen speziellen header senden muß. NUR wenn dieser Header korrekt ist, also zB. die Login Informationen des Users stimmen, antwortet der Server. Ansonsten trennt der Server OHNE irgendwelche Rückmeldungen die Verbindung. D.h. meine selbstentwickelten Server arbeiten immer im Stealth Modus.
Gruß Hagen