SYN-Scan (Half-Open Scan)
SYN-Scan (Half-Open-Scan) prüft Port-Status ohne vollständigen TCP-Handshake: SYN senden, SYN-ACK = offen, dann RST statt ACK. Schneller und stealthier als Full-Connect.
detaillierte erklärung
Der SYN-Scan ist eine Stealth-Scanning-Technik, die Port-Zustände ohne vollständige TCP-Verbindung ermittelt. Ablauf: 1) Angreifer sendet SYN-Paket. 2) Offener Port antwortet SYN-ACK, geschlossener RST. 3) Statt ACK (würde Handshake abschließen) sendet Angreifer RST und bricht ab. Vorteil: Deutlich schneller (tausende Ports/Sekunde), weniger Logging (viele Systeme loggen nur ESTABLISHED-Connections), schwerer zu detektieren als TCP-Connect-Scans. Nachteil: Braucht Root/Admin-Rechte für Raw-Socket-Zugriff. Nmap-Default für privilegierte User: nmap -sS 192.168.1.1. Moderne IDS/IPS erkennen SYN-Scans trotzdem durch Muster-Analyse (viele SYNs ohne ACKs).
warum ist das wichtig?
SYN-Scan ist der Standard im Pentesting - schnell, effektiv, relativ stealth. Du musst verstehen, warum er Root braucht, welche Antworten welche Port-States bedeuten und wie IDS ihn erkennt.
häufige fehler
- ⚠SYN-Scans sind völlig unsichtbar - Nein, IDS/IPS erkennen Muster (viele SYNs ohne ACKs)
- ⚠Jeder User kann SYN-Scans machen - Nein, braucht Root/Admin für Raw Sockets
- ⚠SYN-Scan funktioniert bei UDP - Nein, ist TCP-spezifisch