Port-Scanning mit nmap

Nmap ist ein sehr mächtiges Tool zum Herausfinden ob Ports offen sind und auf eingehende Verbindungen warten. Dazu bietet nmap verschiedene Möglichkeiten einen Scan durchzuführen:

Stealth SYN-Scan
Der SYN-Scan stellt keine vollständige Verbindung zum Zielrechner her, wie es beim „Three-Way-Handshake“ üblich wäre. Dabei sendet nmap ein SYN-Paket und untersucht die Antwort des Zielrechners. Wird als Antwort ein SYN/ACK-Paket empfangen, werden Verbindungen auf diesem Port akzeptiert. Anstelle eines ACK-Paket zurückzusenden, wird die Verbindung durch nmap sofort unterbrochen, indem ein RST-Paket zum Zielrechner gesendet wird. Dies verhindert, dass der Dienst zu einem DoS Opfer wird.


sudo nmap -sS 192.168.0.1

UDP-Scan
Beim UDP-Scan sendet nmap an jeden zu prüfenden Port ein UDP-Paket, dabei ist der Paketinhalt meistens leer. Ist es jedoch ein „bekannter“ Port wie 53 oder 161 wird der Inhalt des Paketes dem Protokoll angepasst.


sudo nmap -sU 192.168.0.1

Scan mit „Lockadressen“ (Scan with decoys)
Das Scanning mit „Lockadressen“ versucht die eigene IP-Adresse, hinter mehreren aktiven IP-Adressen, zu verstecken. Dabei sendet nmap einige Pakete mit der eigenen IP-Adresse und sendet danach gefälschte Pakete mit den Lockadressen. Ein IDS kann so zwar erkennen, dass von einigen IP-Adressen einen Port-Scan durchgeführt wird, aber welche Adresse den effektiven Scan verursacht, ist nicht einfach zu bestimmen. Wichtig dabei ist, dass „decoys“ gewählt werden welche aktiv sind, damit der Zielrechner nicht Opfer eines SYN-Flooding wird.


sudo nmap -D 192.168.0.200,192.168.0.300 192.168.0.1

Im Beispiel wird der Zielrechner 192.168.0.1 gescannt. Die Lockadressen sind: 192.168.0.200 und 192.168.0.300

FIN-, X-mas- und Null-Scans
Bei diesen 3 Scans wird ein unsinniges Paket an jeden Port des Zielrechner geschickt. Wenn der Port aktiv ist, werden diese Pakete einfach ignoriert. Ist der Port jedoch geschlossen und das System reagiert wie im RFC 793 definiert, dann wird es ein RST-Paket zurückschicken. Diese Techniken funktionieren nicht auf allen Systemen, da sich nicht alle Implementierungen nach dem RFC 793 richten. Unter anderem sind das Microsoft Windows, einige Cisco-Devices, BSDI und IBM OS/400.

Null-Scan


sudo nmap -sN 192.168.0.1

Dabei ist kein einziges Flag gesetzt

FIN-Scan


sudo nmap -sF 192.168.0.1

TCP FIN-Flag ist gesetzt

X-mas-Scan


sudo nmap -sX 192.168.0.1

Da dieses Paket die Flags FIN, PSH und URG gesetzt hat, heisst die Technik xmas-scan. (Es leuchtet wie ein Weihnachtsbaum)

SYN-Scan
SYN-Scan bei einem Zielrechner mit Windows

Null-Scan
Ein Null-Scan beim selben Zielsystem, führt wegen der Implementierung zu keinem Resultat

zen.spamhaus.org – PBL

Die PBL von zen.spamhaus.org ist keine Blacklist, wie fälschlicherweise oft angenommen wird. IP-Adressen werden in dieser Liste nicht aufgenommen weil damit SPAM oder ähnliches verschickt wurde, sondern es handelt sich dabei um dynamische IP-Adressen, welche von den ISP’s, an Breitbandkunden verteilt werden. Die Liste beinhaltet weltweite dynamische IP-Bereiche.

FAQ Spamhaus PBL

Netcat als Port Scanner verwenden

Netcat kann als einfacher „Port Scanner“ verwendet werden. Dabei liefert das Tool nicht die vielen Optionen wie nmap, aber es genügt um herauszufinden welche Ports bei einem System offen sind.


nc -v 127.0.0.1 -z 80-1024

Parameter:

    -v zeige detailierte Ausgabe
    -z zero-I/O mode [Scanner-Modus]
    80-1024 Ports zum Scannen. Eingabe eines ganzen Bereiches oder nur eines einzelnen Ports

Prüfen ob der Port 80 bei www.monsterli.ch offen ist:


nc -v www.monsterli.ch -z 80
Connection to www.monsterli.ch 80 port [tcp/www] succeeded!

Netcat als Webserver verwenden

Braucht man kurzerhand einen Webserver, der eine einzelne statische Datei ausliefert, kann dies mit Hilfe von Netcat gemacht werden.
Anwendungsszenarien:

  • Testing
  • Beim Unterbruch eines Webservers, damit möglichst schnell eine Fehlerseite angezeigt wird

[cc lang=“bash“]
while true; do sudo nc -l 80 -q 1 < error.html; done [/cc]
Parameter:

    -l Port um auf Anfragen zu warten
    -q Sekunden die nc nach einem stdin warten soll bis es terminiert
    error.html Eine einfache statische HTML-Seite, welche ausgeliefert wird