Nmap: Weitere Techniken für das Scannen von Ports

Unser Experte zeigt, wie man Eigenheiten im TCP-Protokoll ausnutzen kann. Damit lässt sich feststellen, ob Ports offen oder geschlossen sind.

In unserem letzten Tipp haben wir uns grundlegende Befehle für Nmap angesehen, um Maschinen in einem Netzwerk und Services zu scannen. In diesem Tipp zeigen wir Ihnen, wie einige Scans bestimmte Eigenheiten spezieller Plattformen oder Protokolle ausnutzen, um besser zwischen offenen und geschlossenen Ports unterscheiden zu können.

Die in Nmap enthaltenen Scan-Optionen TCP Null (Parameter -sN), FIN (Parameter -sF) und Xmas (Parameter -sX) nutzen ein fast unscheinbares Hintertürchen in der Spezifizierung RFC 793 des TCP-Protokolls aus. Sind gescannte Systeme mit diesem RFC konform, wie das für die meisten Unix-basierten Systeme zutrifft, wird aus jedem Paket, bei dem kein SYN, RST oder ACK gesetzt ist, ein RST-Paket (Reset), sollte der Port geschlossen sein. 

Ist der Port offen, gibt es gar keine Antwort. Wird ein RST-Paket empfangen, geht man davon aus, dass der Port dicht ist. Keine Antwort bedeutet, dass der Port offen oder möglicherweise gefiltert ist. Der hauptsächliche Vorteil dieser Scans ist, dass sie durch bestimmte nicht Stateful Firewalls und Router mit Paketfiltern passieren.

Ein anderer Scan, der Paketfilter unter bestimmten Umständen umgehen kann, ist der IPID Idlescan (Parameter -sl). Indem er ein anderes Gerät im Netzwerk benutzt, das man in der Regel Zombie nennt, kann Nmap Idlescan-Informationen über den Port von einem außenstehenden Gerät sammeln, ohne dabei ein einziges Paket von seiner eigenen IP-Adresse schicken zu müssen. 

Ein IDS (Intrusion Detection System) wird diesen unschuldigen Zombie als Angreifer melden. Wichtiger ist allerdings, dass sich dieser Scan nutzen lässt, IP-basierte Vertrauensbeziehungen zwischen Maschinen abzubilden. Der Grund dafür ist, dass die Idlescan-Resultate offene Ports aus Sicht der Zombiemaschine zeigen. 

Nehmen wir an, dass ein normaler Scan gegen einen Datenbankserver keine offenen Ports anzeigt. Nutzen wir aber eine Dateiserver-IP als Zombie, zeigen sich die zur Datenbank zugehörigen Ports auf dem Datenbankserver als offen an und exponieren gleichzeitig eine vertrauenswürdige Beziehung. 

Wenn Sie mit Nmap in Ihrem Netzwerk schnüffeln und feststellen, dass es möglicherweise anfällig für IPID-Angriffe ist, müssen Sie die Firewall und die Richtlinien des Routers umkonfigurieren oder anpassen. Diese sollen eingehende Pakete mit gefälschten Quelladressen abweisen. Weiterhin sollten Sie ausgehende Filter aktivieren. Damit verhindern Sie, dass gefälschte Pakete das Netzwerk verlassen. So können interne Anwender den hier beschriebenen Angriff nicht mehr ausführen.

Nmap stellt einen weiteren Scan zur Verfügung, der sich TCP ACK Scan (Parameter -sA) nennt. Damit können Sie Richtliniensätze einer Firewall kartieren. Diese Scan liefert normalerweise nicht, ob ein Port offen oder geschlossen ist. Allerdings erfahren Sie, ob er gefiltert ist und ob das filternde Gerät Stateful ist oder nicht. 

Wir sehen uns das Umgehen der Firewall im nächsten Tipp an. In der Zwischenzeit können Sie Ihre Firewalls und Ihr Netzwerk überprüfen und analysieren. Verwenden Sie dafür einfach verschiedene Einstellungen und schicken Sie unterschiedliche Sondentypen aus. Auch wenn Nmap einige verschiedene Scans enthält, können Sie einen eigenen Scan kreieren, indem Sie in einem Custom TCP Scan beliebige TCP Flags spezifizieren. Der Parameter dafür nennt sich --scanflags. Mit nachfolgendem Befehl lassen Sie zum Beispiel einen SYN|FIN Scan laufen:

nmap -sF --scanflags SINFIN -p20-25 www.example.org

Über den Autor:
Michael Cobb ist CISSP-ISSAP und ein bekannter Security-Autor mit über 20 Jahren Erfahrung. Zu seiner Leidenschaft gehört, Best Practises bezüglich IT-Security verständlich und begreifbar zu machen. Seine Website bietet freie Security-Poster an, um die Anwender auf die Gefahren und Datensicherheit im Unternehmen aufmerksam zu machen. Er war Co-Autor des Buches IIS Security und hat für viele führende IT-Publikationen Artikel verfasst. Mike war außerdem Microsoft Certified Database Manager und registrierter Consultant bei CLAS (CESG Listed Advisor Scheme).

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Open Source: Sicherheitstools und -Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close