Passives Scanning

Paket-Sniffing-Anwendungen können zum passiven Scannen verwendet. Dabei können Informationen ermittelt werden, wie das Betriebssystem, bekannte Protokolle, die nicht auf standardmäßigen Ports laufen. Ebenso lassen sich aktive Netzwerkanwendungen mit bekannten Fehlern erkennen. Passives Scanning wird von Administratoren durchgeführt, um Security-Schwachstellen aufzuspüren. Und natürlich bedienen sich auch Angreifer dieser Techniken, um einen aktiven Angriff vorzubereiten.

Für einen potenziellen Eindringling besteht der Hauptvorteil des passiven Scannens darin, dass er keine Spuren hinterlässt, die Benutzer oder Administratoren auf seine Aktivitäten aufmerksam machen könnten. Für Administratoren besteht der Vorteil in dieser passiven Vorgehensweise, dass kein unerwünschtes Verhalten auf den Zielcomputern, wie zum Beispiel ein Einfrieren oder eine andere Störung, verursacht wird. Aufgrund dieser Vorteile muss passives Scannen nicht auf einen engen Zeitrahmen beschränkt werden, um das Risiko einer Unterbrechung zu minimieren. Dies bedeutet, dass sich somit kontinuierlicher Informationen auswerten lassen.

Aber das passive Scanning hat selbstredend seine Grenzen. Es liefert nicht so detaillierte Informationen hinsichtlich Sicherheitslücken, wie ein aktiver Scanvorgang. Zudem kann es keine Anwendungen erkennen, wenn diese gerade keinen Datenverkehr verursachen oder senden. Und auch falsche Informationen, die zur Verschleierung ausgegeben werden, können auf diese Weise nicht erkannt werden.