775109

Verborgener Scan

01.03.2016 | 15:29 Uhr | Hans-Christian Dirscherl,

Wenn Sie mehr als nur die ersten 1000 Portnummern scannen wollen, dann benutzen Sie den Schalter -p. Beispiel: nmap -p 500-2000 172.16.24.102 scannt die Ports 500 bis 2000 auf unserem Linux-Rechner (Nmap fand dabei übrigens nur geschlossene Ports). Wenn Sie gezielt nur ausgewählte einzelne Ports scannen wollen, dann geben Sie diese kommasepariert an: nmap -p 21,110 Ziel-IP. Der Totalscan von allen 65536 Ports erfolgt mit diesem Befehl: nmap -p- Ziel-IP oder auf einem Linux-Rechner mit sudo nmap -p 1-65535 localhost. Wenn Sie diesen Befehl eingetippt haben, können Sie sich erst einmal einen Kaffee holen… In unserem Testfall war dieser Scan erst nach über 655 Sekunden abgeschlossen.

Zunächst haben wir mit einem Standard-Scan die ersten 1000 Ports unseres Tuxedo-Notebooks überprüft. Danach starteten wir netstat -tp (einmal ohne und einmal mit Root-Rechten). Unter „Foreign Address“ sehen Sie die Ziele der Datenpakete. Dabei entdeckten wir, dass für die Ubuntu-Online-Produktsuche ein Port offen ist. Unter "Systemeinstellungen, Sicherheit & Datenschutz, Suche“ deaktivierten nun die Option „Bei der Suche im Dash: Auch Online-Suchergebnisse verarbeiten“. Danach gaben wir erneut netstat –tp ein: Nun schwieg die Ubuntu-Produktsuche.
Vergrößern Zunächst haben wir mit einem Standard-Scan die ersten 1000 Ports unseres Tuxedo-Notebooks überprüft. Danach starteten wir netstat -tp (einmal ohne und einmal mit Root-Rechten). Unter „Foreign Address“ sehen Sie die Ziele der Datenpakete. Dabei entdeckten wir, dass für die Ubuntu-Online-Produktsuche ein Port offen ist. Unter "Systemeinstellungen, Sicherheit & Datenschutz, Suche“ deaktivierten nun die Option „Bei der Suche im Dash: Auch Online-Suchergebnisse verarbeiten“. Danach gaben wir erneut netstat –tp ein: Nun schwieg die Ubuntu-Produktsuche.

Der Befehl sudo nmap -v -A localhost liefert einen genauen Überblick über die ersten 1000 Ports Ihrer Linux-Rechners. Wenn Sie zusätzlich wissen wollen, wohin die offenen Ports ihre Daten schicken, dann geben Sie den Befehl netstat -tp ein. Das Ergebnis sehen Sie in dem Screenshot oben.

Welche Arten von Hackern gibt es?

Admins können einen Portscan unter Umständen mit Intrusion Detection Systemen erkennen. Deshalb bietet Nmap die Möglichkeit für „verborgene“ Scans. Führen Sie dafür einen Scan mit der Option -sS durch, so machen Sie einen „stealth scan“, also einen verborgenen Scan (stealth=verborgen). So ein TCP-SYN-(Stealth)-Scan ist vergleichsweise unauffällig, weil er eine TCP-Verbindung nicht abschließt. (Hintergrund: Eine vollständige TCP-Verbindung, ein so genannter Handshake, besteht aus drei Schritten: Gerät A schickt einen SYN-Befehl an Gerät B. Gerät B antwortet mit SYN-ACK an Gerät A. Gerät A schickt nun wiederum ACK an Gerät B. Beim Stealth-Scan sendet der Rechner, von dem aus Nmap betrieben wird, eine SYN-Anfrage an den Zielrechner/Server. Dieser antwortet brav mit SYN-ACK und gibt damit seine Existenz preis. Der NMAP-Rechner verweigert jetzt aber das abschließende ACK und schickt stattdessen ein RST und bricht die Verbindung ab). Der Stealth-Scan ist aber in Nmap bereits voreingestellt und somit Standard, sobald man Nmap mit Adminrechten ausführt!

Die gefährlichsten Hackertools der Welt

Mit der Option -P0 wiederum schalten Sie den standardmäßigen Ping-Befehl aus. Damit können Sie auch Netzwerke scannen, die Antworten auf eine PING-Anfrage nicht zulassen.

PC-WELT Marktplatz

775109