tom's networking guide
 
Anzeige

Netzwerk-Sicherheit

Windows Netzwerksicherheit

Anwendungen auf den Port geschaut

PortQry im lokalen Bereich

Das Programm besitzt wenig Funktionalität beim Remote-Scannen aber ausgezeichnete Fähigkeiten beim Scannen auf lokalen Systemen. Zum Überprüfen lokaler Systeme müssen Sie das Tool mit dem Parameter ?local aufrufen.

portqry -local
(Aufzählung aller benutzten lokalen Ports und deren Zuordnung zur PID; dadurch sehen Sie schnell, welche Anwendungen offene Netzwerkverbindungen haben.)

portqry -local -wport 80
(Überwachen der Statusänderung für einen bestimmten lokalen Port oder eine bestimmte PID - hier Port 80.)

Diesem Befehl veranlasst PortQry, alle auf Port 80 lauschenden Anwendungen anzuzeigen. Ist dies ein Microsoft IIS (Internet Information Server), meldet das Tool einen W3SVC-Dienst in lauschendem Zustand und weitere vom W3SVC-Dienst benutzte Ports wie den Port 443 für HTTP Secure (HTTPS).

Das Programm läuft in der Command-Shell weiter und berichtet über alle sich ändernden Aktivitäten auf den Ports.

portqry -local -wpid PID
(Beobachtung einer speziellen Anwendung;)

PID bezeichnet die PID der Anwendung. Durch das Betrachten einer PID lässt sich sehr leicht die Netzwerkaktivität einer neuen Anwendung überwachen.

Beispiel Ports des Windows Messenger (WM): Die ausführbare Datei des WM trägt die Bezeichnung msmsgs.exe. Sie wird gestartet (oder zuvor überprüft, ob vielleicht das Icon des WM bereits im System Tray angezeigt wird) und anschließend der Task Manager aufgerufen.

Im Register Prozesse müssen Sie darauf achten, dass die Spalte PID angezeigt wird. Ist diese Spalte nicht sichtbar, können Sie sie im Task Manager über das Menü Ansicht / Spalten auswählen ... und dort durch Markieren des Kästchens vor PID (Prozess-ID) in das Register Prozesse integrieren.

Über das Menü Ansicht bringt der Windows-Task-Manager zusätzliche Spalten zur Anzeige.

Suchen Sie nun den Prozess mit dem Namen msmsgs und notieren Sie dessen PID. Öffnen Sie anschließend ein weiteres Befehlszeilenfenster und starten Sie Portqry mit dem Parameter ?wpid und der eben festgestellten PID.

Der Prozess mit der PID 2400 wartet auf dem UDP-Port 1127. PortQry zeigt diese Information so lange, bis das Dienstprogramm eine Veränderung feststellt (Überprüfung erfolgt jede Minute). Meldet sich ein Benutzer auf dem WM an, gibt das Tool automatisch eine Zusammenstellung der neuen Aktivitäten an die Kommand-Shell zurück.

Zusätzlich müssen Sie beachten, dass der WM diese Verbindung mit einer Remote-IP-Adresse (207.46.107.118) initiiert hat, die der zu msgr.hotmail.com gehörenden IP-Adresse entspricht. Dies ist ein Teil des WM-Netzwerks.

Beim Senden einer Instant Message geschieht folgendes: PortQry zeigt zwei neue geöffnete Sockets an. (Ein Socket ist die Kombination von einem Port mit einer Remote-IP-Adresse.) Die neuen Sockets sind ein anderer TCP Ziel-Port (1863), und ein neuer TCP Ziel-Port 80. Der TCP-Port 80 wird für http verwendet und zeigt an, dass der WM auf einen Remote-Webserver zugreift, wenn eine Instant Message gesendet wird. Nach ein paar Minuten der Inaktivität endet die TCP-Sitzung und es ist zu sehen, dass nur noch die beiden ursprünglichen Ports geöffnet bleiben. Durch den gemeinsamen Einsatz von Task Manager und Portqry lassen sich damit Aktivitäten bestimmter Anwendungen beobachten und die benutzten Ports genau unterscheiden.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Netzwerksicherheit
IT-Administrator Hubert Wolf trifft es diesmal in seiner Kernkompetenz: das "Just In Time"-Bestellsystem. Hier können Sie nicht nur lesen, wie er dem Kommunikationsproblem zwischen den Systemen auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
IPsec-Problembehebung war weder seine Stärke noch zählte sie zu seinen Lieblingsbeschäftigungen von IT-Administrator Hubert Wolf. Hier können Sie nicht nur lesen, wie er dem VPN-Problem auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
IT-Administrator Hubert Wolf trifft es diesmal ganz unerwartet: Aus dem Drucker des Vertriebs kommen geheime Waffenpläne. Hier können Sie nicht nur lesen, wie er diesem merkwürdigen Vorfall auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
Montag in der Frühe ereilte IT-Administrator Hubert Wolf die schlechteste aller Nachrichten: Sein Netz war gehackt. Eile war geboten. Hier können Sie nicht nur lesen, wie er sich aus dieser misslichen Lage befreit, sondern sogar mitraten. [mehr]
Plawa scrivo.1
Der scrivo.1 von Plawa verspricht Stifteingabe für alle, nicht nur für Besitzer teuerer Tablet-PCs, und das ohne lästiges Kabel, Grafik-Pad oder Spezialpapier. Wir haben den Elektroschreiber in der Praxis getestet. [mehr]
PalmOne Treo 600
Im Treo 600 vereint PalmOne erstmals PDA und Quad-Band-Funktelefon zu einem kompakten Kommunikations- und Organisationspaket für die Westentasche mit dem Chic eines Sony-Ericsson und der Funktionalität, die fast an die eines Blackberry heran reicht. [mehr]
Zyxel Prestige 2000W WLAN-SIP-Handy
VoIP steht vor dem Durchbruch: die Anbieter stehen bereit, Software auch, nur Hardware kommt zögerlich auf den Markt. ZyXEL gehört hier zur Vorhut und wagt sich mit seinem WLAN-VoIP-Telefon gleich zwei Schritt nach vorn. [mehr]
Anzeige