Ga naar inhoud

Poortscans en subdomeinontdekking

Heb je een host of een domein en wil je weten wat die naar buiten toe blootgeeft? Twee wegen, elk met zijn eigen toepassing: poortscannen onderzoekt actief welke poorten een host open heeft en welke services daarop draaien; subdomeinontdekking leest alleen openbare data, zonder met het doel te communiceren, om de subdomeinen onder een domein op te sporen.


1. Poortscannen: welke poorten een host open heeft, en welke services daarop draaien

Section titled “1. Poortscannen: welke poorten een host open heeft, en welke services daarop draaien”

Voer een hostnaam of IP-adres in om snel de TCP-poorten te scannen die open staan, met voortgang in realtime en “N open gevonden.” Elke open poort geeft drie kolommen:

  • Poortnummer.
  • Servicenaam: eerst gegokt op basis van de poort, vervolgens verfijnd met de vastgelegde banner, zodat zelfs SSH, redis, mysql en dergelijke die op niet-standaardpoorten draaien, worden herkend.
  • Banner: het vastgelegde welkomstbericht van de service; voor HTTP-poorten geeft dit de statusregel en de Server-header.

Het scanbereik is een van drie: veelgebruikte poorten (de standaard, een samengestelde set veelvoorkomende poorten), alle poorten (1-65535), of aangepast (zoals 80,443,8000-8100). Banner grabbing kan worden uitgeschakeld; is die uit, dan benoemt het nog steeds de service op basis van de poort, maar haalt het geen welkomstbericht meer op en verfijnt daar niet meer op. De lijst met open poorten kan worden gesorteerd op poortnummer. Werkt direct uit de doos, zonder extra driver of rechten nodig.

Herkent ook niet-standaardpoorten: wanneer SSH, redis, mysql en dergelijke op ongebruikelijke poorten draaien, gokt een gewone scan die de service alleen op poortnummer raadt, er vaak naast; hier verfijnt de vastgelegde banner de gok, zodat de echte service wordt herkend op welke poort die ook draait.

Poortscannen: realtime voortgang + aantal gevonden open poorten; elke open poort geeft poortnummer / servicenaam / banner (service-identificatie verfijnd met het vastgelegde welkomstbericht)


2. Subdomeinontdekking: passief de subdomeinen van een domein achterhalen

Section titled “2. Subdomeinontdekking: passief de subdomeinen van een domein achterhalen”

Voer een domein in, en het verzamelt meerdere openbare inlichtingenbronnen, bevraagt ze parallel, en somt de subdomeinen eronder op. Bronnen vallen in twee categorieën uiteen (elk met een trefferaantal): certificate-transparency-logs en passieve DNS. Resultaten worden automatisch ontdubbeld en gesorteerd, met realtime filtering en kopiëren van alles met één klik. Als een bron tijdelijk niet beschikbaar is of aan rate-limiting onderhevig is, remt dat de rest niet af; de andere bronnen leveren gewoon resultaten, elk gelabeld met hun trefferaantal.

Leest alleen openbare data, raakt het doel nooit aan: het bevraagt overal alleen openbare datasets en stuurt geen enkel verzoek naar het doeldomein of de servers ervan. Dit is het fundamentele verschil met actief scannen.

Subdomeinontdekking: verzamelt openbare inlichtingenbronnen zoals certificate-transparency-logs en passieve DNS (elk met een trefferaantal), ontdubbelt en sorteert, somt vervolgens subdomeinen op, met realtime filtering en kopiëren met één klik


3. Actief versus passief, en hoe je ze combineert

Section titled “3. Actief versus passief, en hoe je ze combineert”
Poortscannen Subdomeinontdekking
Doel Een host / IP-adres Een domein
Methode Actief de poorten van het doel onderzoeken Passief openbare inlichtingen bevragen
Communiceert met het doel Ja (maakt rechtstreeks verbinding met de poorten) Nee (leest alleen openbare data)
Wat je krijgt Open poorten + services + banners Een lijst met blootgestelde subdomeinen

Gebruik eerst subdomeinontdekking om het assetoppervlak van een domein puur op basis van openbare data in kaart te brengen, en voer daarna poortscannen uit op geselecteerde hosts om te verifiëren welke services open staan: verspreid het oppervlak passief, verifieer de punten actief, en na één ronde is het naar buiten gerichte blootstellingsoppervlak duidelijk.


  • Om het naar buiten gerichte serviceoppervlak van een apparaat of server te achterhalen: welke poorten open staan, wat daar ongeveer op draait, en wat de banners zeggen.
  • Als je alleen een domein in handen hebt en de blootgestelde subdomeinen wilt inventariseren puur op basis van openbare data.
  • Bij assetinventarisatie en het in kaart brengen van het naar buiten gerichte blootstellingsoppervlak: subdomeinen passief opsporen en poorten actief verifiëren, samen aan het werk.

Terug naar Proxy-capture · Gerelateerd: Hostdetails