LabEx
LoginBeitreten

Scan-Statistiken in Nmap analysieren

NmapBeginner
Jetzt üben

Einführung

In diesem Labyrinth lernst du, wie du Scanstats in Nmap analysierst. Dabei geht es um die Verwendung der Option --stats-every, um die Scanstats in regelmäßigen Abständen anzuzeigen, die Verbose-Einstellung mit der Option -v und das Speichern der Statistikausgabe in einer Datei. Außerdem betrachtest du die Zeitstatistiken, vergleichst die Statistiken mit verschiedenen Zeitvorlagen und analysierst die Scandauer.

Das Lab beginnt mit einem Scan mit aktivierten Statistiken, gefolgt von der Hinzufügung von Verbose-Einstellungen zum Output. Danach lernst du, wie du die Statistiken in eine Datei speicherst, um sie später zu analysieren. Schließlich erkundest du verschiedene Zeitvorlagen und analysierst die Scandauer, um zu verstehen, wie sie den Scvorgang beeinflussen.

Scan mit Statistiken ausführen mit nmap --stats-every 5s 192.168.1.0/24

In diesem Schritt lernst du, wie du die Option --stats-every mit Nmap verwenden, um die Scanstats in regelmäßigen Abständen anzuzeigen. Dies ist hilfreich, um den Fortschritt eines Scans zu überwachen, insbesondere wenn du große Netzwerke scannst.

Zunächst verstehen wir die grundlegende Syntax:

nmap --stats-every <time> <target>
  • --stats-every <time>: Gibt das Intervall (in Sekunden) an, in welchem Nmap die Scanstats anzeigen soll.
  • <target>: Die Ziel-IP-Adresse oder das Netzwerk, das du scannen möchtest.

Für diesen Schritt wirst du das Netzwerk 192.168.1.0/24 scannen und die Statistiken alle 5 Sekunden anzeigen.

Führe folgenden Befehl in deiner Konsole aus:

sudo nmap --stats-every 5s 192.168.1.0/24

Du wirst sehen, dass Nmap beginnt, das Netzwerk zu scannen und alle 5 Sekunden die Statistiken ausgibt. Die Statistiken umfassen Informationen wie die Anzahl der gescannten Hosts, die Anzahl der aktiven Hosts und die geschätzte verbleibende Zeit.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Stats: 0:00:05 elapsed; 0 hosts completed (0 up), 256 hosts total
Stats: 0:00:10 elapsed; 0 hosts completed (0 up), 256 hosts total
Stats: 0:00:15 elapsed; 0 hosts completed (0 up), 256 hosts total
...

Hinweis: Die Ausgabe variiert je nach deiner Netzwerkkonfiguration. Der Scan wird wahrscheinlich einige Zeit in Anspruch nehmen, bis er abgeschlossen ist. Du kannst den Scan jederzeit abbrechen, indem du Ctrl+C drückst. Da dies eine Demonstration ist, musst du nicht auf das Ende des Scans warten.

Verständlichkeit erhöhen mit nmap -v --stats-every 5s 127.0.0.1

In diesem Schritt lernst du, wie du die Ausführlichkeit der Nmap-Ausgabe mithilfe der Option -v erhöhen kannst, während du gleichzeitig die Scanstats in regelmäßigen Abständen mit --stats-every anzeigst. Die Ausführlichkeit liefert detailliertere Informationen über den Scvorgang, was für das Debugging oder das Verständnis des Verhaltens von Nmap hilfreich sein kann.

Die Option -v erhöht das Ausführlichkeitsniveau. Du kannst sie mehrmals verwenden (z.B. -vv), um noch detailliertere Ausgabe zu erhalten.

Führe folgenden Befehl in deiner Konsole aus, um den lokalen Host (127.0.0.1) mit Ausführlichkeit zu scannen und die Statistiken alle 5 Sekunden anzuzeigen:

sudo nmap -v --stats-every 5s 127.0.0.1

Du wirst sehen, dass Nmap beginnt, zu scannen und detailliertere Informationen über jeden Schritt des Scans ausgibt, zusammen mit den Statistiken alle 5 Sekunden.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Initiating Ping Scan at 10:05
Scanning 127.0.0.1 [4 ports]
Completed Ping Scan at 10:05, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:05
Completed Parallel DNS resolution of 1 host. at 10:05, 0.00s elapsed
Initiating Connect Scan at 10:05
Scanning localhost (127.0.0.1) [1000 ports]
Discovered open port 22/tcp on 127.0.0.1
Completed Connect Scan at 10:05, 0.00s elapsed (1000 total ports)
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000083s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Stats: 0:00:05 elapsed; 1 hosts completed (1 up), 1 hosts total
Stats: 0:00:10 elapsed; 1 hosts completed (1 up), 1 hosts total
Stats: 0:00:15 elapsed; 1 hosts completed (1 up), 1 hosts total
...

Bemerk die zusätzlichen Informationen, die von der Option -v bereitgestellt werden, wie das Starten und Beenden verschiedener Scanphasen. Dies kann sehr nützlich sein, um zu verstehen, was Nmap macht und um eventuelle Probleme zu diagnostizieren.

Du kannst den Scan jederzeit abbrechen, indem du Ctrl+C drückst. Da dies eine Demonstration ist, musst du nicht auf das Ende des Scans warten.

Stats-Ausgabe speichern mit nmap --stats-every 5s -oN stats.txt 192.168.1.1

In diesem Schritt lernst du, wie du die Ausgabe eines Nmap-Scans, einschließlich der von --stats-every angezeigten Statistiken, mithilfe der Option -oN in eine Datei speichern kannst. Dies ermöglicht es dir, die Scanergebnisse und Statistiken später zu analysieren.

Die Option -oN gibt an, dass die Ausgabe im "normalen" Format in die angegebene Datei gespeichert werden soll.

Führe folgenden Befehl in deiner Konsole aus, um den Host 192.168.1.1 zu scannen, die Statistiken alle 5 Sekunden anzuzeigen und die Ausgabe in eine Datei namens stats.txt im Verzeichnis ~/project zu speichern:

sudo nmap --stats-every 5s -oN stats.txt 192.168.1.1

Nmap wird beginnen, zu scannen und die Statistiken auf der Konsole anzuzeigen, aber es speichert auch die vollständige Scanausgabe in die Datei stats.txt.

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Stats: 0:00:05 elapsed; 0 hosts completed (0 up), 1 hosts total
Stats: 0:00:10 elapsed; 0 hosts completed (0 up), 1 hosts total
Stats: 0:00:15 elapsed; 0 hosts completed (0 up), 1 hosts total
...

Nachdem der Scan abgeschlossen ist (oder nachdem du ihn mit Ctrl+C abgebrochen hast), kannst du den Inhalt der Datei stats.txt mit dem Befehl cat anzeigen:

cat ~/project/stats.txt

Dies wird die Nmap-Scanausgabe anzeigen, einschließlich des Scanberichts und der Statistiken, die während des Scans angezeigt wurden.

## Nmap 7.80 scan initiated Fri Oct 27 10:10:00 2023 as: nmap --stats-every 5s -oN stats.txt 192.168.1.1
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

## Nmap done at Fri Oct 27 10:10:15 2023 -- 1 IP address (1 host up) scanned in 15.00 seconds

Hinweis: Die Ausgabe in stats.txt wird der endgültige Scanbericht sein, nicht die periodischen Statistikupdates. Die Statistiken werden nur auf der Konsole angezeigt, wenn --stats-every verwendet wird.

Überprüfen der Zeitstatistiken im Xfce-Terminal

In diesem Schritt lernst du, wie du die Zeitstatistiken beobachten und interpretieren kannst, die von Nmap während eines Scans angezeigt werden. Wir werden die Option --stats-every verwenden, um diese Statistiken periodisch im Xfce-Terminal anzuzeigen.

Um die Zeitstatistiken zu überprüfen, führe folgenden Befehl in deinem Terminal aus:

sudo nmap --stats-every 2s 192.168.1.1

Dieser Befehl wird den Host 192.168.1.1 scannen und die Scanstatistiken alle 2 Sekunden anzeigen.

Du wirst in deinem Xfce-Terminal eine Ausgabe ähnlich der folgenden sehen:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00020s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Stats: 0:00:02 elapsed; 0 hosts completed (0 up), 1 hosts total
Stats: 0:00:04 elapsed; 0 hosts completed (0 up), 1 hosts total
Stats: 0:00:06 elapsed; 0 hosts completed (0 up), 1 hosts total
Stats: 0:00:08 elapsed; 0 hosts completed (0 up), 1 hosts total
Nmap done at Fri Oct 27 10:15:10 2023 -- 1 IP address (1 host up) scanned in 10.00 seconds

Zergliedern wir, was diese Statistiken bedeuten:

  • Starting Nmap...: Diese Zeile zeigt die Nmap-Version und die Zeit, zu der der Scan gestartet wurde.
  • Nmap scan report for...: Dies ist der standardmäßige Nmap-Scanbericht, der die offenen Ports und andere Informationen über den Zielhost zeigt.
  • Host is up...: Gibt an, dass der Zielhost erreichbar ist.
  • Not shown: 999 closed ports: Standardmäßig zeigt Nmap keine geschlossenen Ports an, um die Ausgabe zu reduzieren.
  • Stats: 0:00:02 elapsed; 0 hosts completed (0 up), 1 hosts total: Dies ist der Schlüsselteil für diesen Schritt.
    • elapsed: Dies zeigt die verstrichene Zeit seit dem Start des Scans (im Format Stunden:Minuten:Sekunden).
    • hosts completed: Dies zeigt, wie viele Hosts vollständig gescannt wurden.
    • (0 up): Dies gibt an, wie viele der abgeschlossenen Hosts aktiv sind.
    • hosts total: Dies zeigt die Gesamtzahl der zu scannenden Hosts.
  • Nmap done at...: Diese Zeile zeigt die Zeit, zu der der Scan beendet wurde, und die Gesamtzeit, die es gedauert hat.

Indem du diese Statistiken beobachtest, kannst du eine Vorstellung davon bekommen, wie lange der Scan dauert und wie schnell er voranschreitet. Dies kann hilfreich sein, um die für größere Scans erforderliche Zeit zu schätzen und um Probleme mit der Leistung zu beheben.

Du kannst den Scan zu jedem Zeitpunkt durch Drücken von Ctrl+C abbrechen.

Vergleiche Statistiken mit verschiedenen Zeitvorlagen im Xfce-Terminal

In diesem Schritt erkundest du, wie die Zeitvorlagen von Nmap die Scangeschwindigkeit und -genauigkeit beeinflussen. Nmap bietet mehrere Zeitvorlagen an, die die Aggressivität des Scans steuern. Diese Vorlagen werden mit der Option -T angegeben, gefolgt von einer Zahl von 0 bis 5.

Hier ist eine kurze Übersicht über die Zeitvorlagen:

  • -T0 (paranoid): Die langsamste Vorlage, die zum Vermeiden von Entdeckungen verwendet wird.
  • -T1 (sneaky): Ähnlich wie paranoid, aber etwas schneller.
  • -T2 (polite): Verlangsamt den Scan, um Bandbreite und Ressourcen zu schonen.
  • -T3 (normal): Die Standardvorlage, die ein Gleichgewicht zwischen Geschwindigkeit und Genauigkeit bietet.
  • -T4 (aggressive): Beschleunigt den Scan, indem er aggressiver wird.
  • -T5 (insane): Die schnellste Vorlage, aber auch die am wahrscheinlichsten, entdeckt zu werden und Netzwerkprobleme zu verursachen.

Um die Auswirkungen verschiedener Zeitvorlagen zu vergleichen, führen wir zwei Scans gegen 127.0.0.1 (localhost) durch, einen mit -T2 (polite) und einen anderen mit -T4 (aggressive), und beobachten die Statistiken.

Führe zuerst den Scan mit der polite-Vorlage aus:

sudo nmap -T2 --stats-every 5s 127.0.0.1

Beachte die Ausgabe im Xfce-Terminal. Notiere die verstrichene Zeit und die Rate, mit der die Ports gescannt werden. Du solltest feststellen, dass der Scan relativ langsam voranschreitet.

Als nächstes führe den Scan mit der aggressive-Vorlage aus:

sudo nmap -T4 --stats-every 5s 127.0.0.1

Beachte erneut die Ausgabe im Xfce-Terminal. Vergleiche die verstrichene Zeit und die Scangeschwindigkeit mit dem vorherigen Scan. Du solltest feststellen, dass der Scan mit der aggressive-Vorlage viel schneller voranschreitet.

Indem du die Statistiken aus diesen beiden Scans vergleichst, kannst du sehen, wie die Zeitvorlagen die Geschwindigkeit und Aggressivität von Nmap-Scans beeinflussen. Denke daran, dass das Verwenden aggressiverer Vorlagen das Risiko der Entdeckung erhöhen kann und möglicherweise Probleme im Zielnetzwerk verursachen kann. Wähle die passende Vorlage basierend auf deinen spezifischen Anforderungen und der Umgebung, die du scannst.

Du kannst den Scan zu jedem Zeitpunkt durch Drücken von Ctrl+C abbrechen.

Analysiere die Scandauer im Xfce-Terminal

In diesem Schritt wirst du lernen, wie du die Scandauer von Nmap-Scans analysierst. Das Verständnis dafür, wie lange ein Scan dauert, ist entscheidend für die Planung und Optimierung deiner Netzwerkanalysen. Nmap liefert detaillierte Statistiken während und nach einem Scan, einschließlich der Startzeit, Endzeit und der gesamten verstrichenen Zeit.

Um die Scandauer zu analysieren, führen wir einen Scan durch und untersuchen dann die Ausgabe auf die relevanten Zeitangaben.

Führe zuerst einen Scan gegen 127.0.0.1 (localhost) mit der Option --stats-every aus, um die Statistiken periodisch anzuzeigen:

sudo nmap --stats-every 5s 127.0.0.1

Während des Scans beobachte die alle 5 Sekunden in den Xfce-Terminal ausgegebenen Statistiken. Diese Statistiken umfassen Informationen über den Fortschritt des Scans, die Anzahl der gescannten Ports und die geschätzte verbleibende Zeit.

Sobald der Scan abgeschlossen ist, wird Nmap eine Zusammenfassung der Ergebnisse ausgeben, einschließlich der gesamten verstrichenen Zeit. Suche nach der Zeile, die mit "Nmap done" beginnt. Diese Zeile wird dir sagen, wie lange der Scan gedauert hat.

Zum Beispiel:

Nmap done: 1 IP address (1 host up) scanned in 2.54 seconds

In diesem Beispiel dauerte der Scan 2,54 Sekunden.

Du kannst die Scandauer auch analysieren, indem du die Ausgabe mit der Option -oN in eine Datei speicherst, wie in einem vorherigen Schritt gezeigt. Nachdem der Scan abgeschlossen ist, kannst du die Datei öffnen und nach der Zeile "Nmap done" suchen, um die verstrichene Zeit zu finden.

Indem du die Scandauer analysierst, kannst du Einblicke in die Leistung deiner Nmap-Scans erhalten und potenzielle Engpässe identifizieren. Diese Informationen können verwendet werden, um deine Scaneinstellungen zu optimieren und die Effizienz deiner Netzwerkanalysen zu verbessern.

Zusammenfassung

In diesem Lab hast du gelernt, wie du die Option --stats-every in Nmap verwendest, um Scanstatistiken in regelmäßigen Abständen anzuzeigen. Dadurch kannst du den Fortschritt eines Scans überwachen, insbesondere wenn du große Netzwerke scannst. Das Lab hat gezeigt, wie man einen Scan ausführt, bei dem die Statistiken alle 5 Sekunden angezeigt werden, und dabei Informationen wie die gescannten Hosts, die aktiven Hosts und die geschätzte verbleibende Zeit angezeigt werden.

Des Weiteren hat das Lab die Option -v eingeführt, um die Ausführlichkeit zu erhöhen und neben den regelmäßigen Statistikupdates detailliertere Informationen über den Scanprozess bereitzustellen.

Verwandt Nmap Kurse
Nmap für Anfänger

Nmap für Anfänger

cybersecuritynmaplinux
Praktisches Netzwerkscannen mit Nmap unter Linux

Praktisches Netzwerkscannen mit Nmap unter Linux

cybersecuritynmaplinux
Nmap-Scanning und Telnet-Zugriff

Nmap-Scanning und Telnet-Zugriff

cybersecuritynmaplinux