LabEx
AnmeldenKostenlos beitreten

Durchführung von TCP FIN Scans in Nmap

NmapNmapBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab werden Sie lernen, mit Nmap TCP FIN-Scans durchzuführen. Sie beginnen mit einem grundlegenden FIN-Scan auf eine Ziel-IP, scannen dann bestimmte Ports, fügen der Scanausgabe eine detailliertere Ausgabe hinzu und speichern die Ergebnisse. Darüber hinaus werden Sie FIN-Scans mit TCP-Scans vergleichen und offene Ports im Xfce-Terminal analysieren. Ein FIN-Scan sendet ein FIN-Paket an den Zielhost, was helfen kann, bestimmte Firewalls oder Intrusion Detection Systeme zu umgehen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/verbosity("Verbosity Levels") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/output_formats -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/save_output -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/port_scanning -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/scan_types -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/target_specification -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/verbosity -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/service_detection -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/firewall_evasion -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} nmap/stealth_scanning -.-> lab-547093{{"Durchführung von TCP FIN Scans in Nmap"}} end

Führen Sie einen FIN-Scan mit nmap -sF 192.168.1.1 aus

In diesem Schritt werden Sie lernen, wie Sie einen FIN-Scan mit Nmap durchführen. Ein FIN-Scan ist ein Typ von TCP-Scan, bei dem ein FIN (Fertig)-Paket an den Zielhost gesendet wird. Im Gegensatz zu einem SYN-Scan, der versucht, eine Verbindung herzustellen, sendet ein FIN-Scan einfach ein FIN-Paket und beobachtet die Antwort. Dies kann hilfreich sein, um bestimmte Firewalls oder Intrusion Detection Systeme zu umgehen.

Bevor wir beginnen, klären wir, was ein FIN-Paket ist. Bei der TCP-Kommunikation signalisiert das FIN-Flag das Ende einer Verbindung. Wenn ein Host ein FIN-Paket sendet, sagt es im Grunde: "Ich habe mit dem Senden von Daten fertig."

Lassen Sie uns nun den FIN-Scan ausführen. Öffnen Sie Ihren Xfce-Terminal.

Führen Sie den folgenden Befehl aus:

sudo nmap -sF 192.168.1.1
  • -sF: Dieser Option sagt Nmap, einen FIN-Scan durchzuführen.
  • 192.168.1.1: Dies ist die Ziel-IP-Adresse. Ersetzen Sie dies durch die tatsächliche IP-Adresse des Computers, den Sie scannen möchten, wenn es unterschiedlich ist.

Sie müssen möglicherweise die IP-Adresse 192.168.1.1 anpassen, um der IP-Adresse eines von Ihrem LabEx-VM aus erreichbaren Zielcomputers zu entsprechen. Wenn Sie kein bestimmtes Ziel im Sinn haben, können Sie die IP-Adresse Ihrer Gateway- oder eines anderen Geräts im lokalen Netzwerk verwenden. Wenn Sie unsicher sind, können Sie versuchen, Ihren eigenen Computer mit 127.0.0.1 (localhost) zu scannen.

Die Ausgabe wird den Status jedes Ports auf dem Zielcomputer anzeigen. Offene Ports werden normalerweise nicht auf ein FIN-Paket antworten, während geschlossene Ports mit einem RST (zurücksetzen)-Paket antworten werden. Gefilterte Ports können überhaupt nicht antworten, was es schwierig macht, ihren Status zu bestimmen.

Beispielausgabe (die tatsächliche Ausgabe wird je nach Ziel variieren):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00043s latency).
Not shown: 999 closed ports
PORT    STATE    SERVICE
22/tcp  filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds

In diesem Beispiel ist Port 22 (SSH) als gefiltert angezeigt. Dies bedeutet, dass Nmap aufgrund von Firewallregeln oder anderen Netzwerkbedingungen nicht bestimmen konnte, ob der Port geöffnet oder geschlossen ist. Die Zeile "Not shown: 999 closed ports" zeigt an, dass Nmap die 999 geschlossenen Ports nicht angezeigt hat, um die Ausgabe übersichtlich zu halten.

Scannen von bestimmten Ports mit nmap -sF -p 22,80 127.0.0.1

Im vorherigen Schritt haben Sie gelernt, wie Sie einen grundlegenden FIN-Scan durchführen. Jetzt werden Sie lernen, wie Sie bestimmte Ports bei einem FIN-Scan anvisieren. Dies ist nützlich, wenn Sie Ihren Scan auf Dienste konzentrieren möchten, die wahrscheinlich auf bestimmten Ports laufen, wie SSH (Port 22) und HTTP (Port 80).

Das Angeben von Ports kann die Scanzeit erheblich reduzieren und die Ergebnisse relevanter machen. Anstatt alle 65535 Ports zu scannen, können Sie sich auf die Ports konzentrieren, die am wahrscheinlichsten von Interesse sind.

Öffnen Sie Ihren Xfce-Terminal.

Führen Sie den folgenden Befehl aus:

sudo nmap -sF -p 22,80 127.0.0.1
  • -sF: Diese Option sagt Nmap, einen FIN-Scan durchzuführen.
  • -p 22,80: Diese Option gibt an, dass Sie die Ports 22 und 80 scannen möchten. Sie können einen einzelnen Port, einen Portbereich (z.B. 1-100) oder eine komma-getrennte Liste von Ports angeben.
  • 127.0.0.1: Dies ist die Ziel-IP-Adresse, die in diesem Fall Ihr eigener Computer (localhost) ist.

Die Ausgabe wird den Status der Ports 22 und 80 auf Ihrem Computer anzeigen.

Beispielausgabe:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000027s latency).

PORT   STATE    SERVICE
22/tcp filtered ssh
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

In diesem Beispiel werden beide Ports 22 und 80 als gefiltert angezeigt. Dies bedeutet, dass Nmap nicht bestimmen konnte, ob diese Ports geöffnet oder geschlossen sind. Dies ist ein häufiges Ergebnis bei FIN-Scans, insbesondere wenn Firewalls vorhanden sind.

Fügen Sie die Ausführlichkeit mit nmap -v -sF 192.168.1.1 hinzu

In diesem Schritt werden Sie lernen, wie Sie die Ausführlichkeit Ihres Nmap FIN-Scans erhöhen. Die Ausführlichkeit liefert detailliertere Informationen über den Scanprozess, was für das Debugging oder das Verständnis der Ergebnisse hilfreich sein kann.

Die Option -v in Nmap erhöht das Ausführlichkeitslevel. Sie können sie mehrmals verwenden (z.B. -vv), um noch detailliertere Ausgabe zu erhalten.

Öffnen Sie Ihren Xfce-Terminal.

Führen Sie den folgenden Befehl aus:

sudo nmap -v -sF 192.168.1.1
  • -v: Diese Option erhöht das Ausführlichkeitslevel.
  • -sF: Diese Option sagt Nmap, einen FIN-Scan durchzuführen.
  • 192.168.1.1: Dies ist die Ziel-IP-Adresse. Vergessen Sie nicht, diese bei Bedarf durch eine gültige IP-Adresse zu ersetzen.

Die Ausgabe wird nun Informationen über den Scan enthalten, wie die gesendeten und empfangenen Pakete, die Gründe für bestimmte Entscheidungen und den Gesamtfortschritt.

Beispielausgabe (die tatsächliche Ausgabe wird je nach Ziel und Netzwerkbedingungen variieren):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 10:10
Scanning 192.168.1.1 [2 ports]
Completed Ping Scan at 10:10, 0.00s elapsed (1 total hosts)
Initiating FIN Scan at 10:10
Scanning 192.168.1.1 [1000 ports]
Completed FIN Scan at 10:10, 2.12s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.00038s latency).
Not shown: 999 closed ports
PORT    STATE    SERVICE
22/tcp  filtered ssh

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds
Raw packets sent: 1001 (44.044KB) | Rcvd: 1 (44B)

Bemerken Sie die zusätzlichen Informationen, wie das Laden des NSE-Skripts, die Start- und Endzeiten des Ping- und FIN-Scans und die Anzahl der gesendeten und empfangenen Pakete. Dieses Maß an Detail kann unschätzbare Hilfe bei der Behebung von Netzwerkproblemen oder der Analyse von Scanergebnissen bieten.

Speichern Sie die Ergebnisse des FIN-Scans mit nmap -sF -oN fin.txt 127.0.0.1

In diesem Schritt werden Sie lernen, wie Sie die Ergebnisse Ihres Nmap FIN-Scans in eine Datei speichern. Dies ist nützlich für eine spätere Analyse, Berichterstattung oder zum Vergleich mit anderen Scans.

Nmap bietet mehrere Optionen zum Speichern von Scanergebnissen in verschiedenen Formaten. Die Option -oN speichert die Ergebnisse im "normalen", menschenlesbaren Format.

Öffnen Sie Ihren Xfce-Terminal.

Führen Sie den folgenden Befehl aus:

sudo nmap -sF -oN fin.txt 127.0.0.1
  • -sF: Diese Option sagt Nmap, einen FIN-Scan durchzuführen.
  • -oN fin.txt: Diese Option gibt an, dass Sie die Ergebnisse im normalen Format in eine Datei namens fin.txt speichern möchten. Die Datei wird im aktuellen Verzeichnis (~/project) gespeichert.
  • 127.0.0.1: Dies ist die Ziel-IP-Adresse, die in diesem Fall Ihr eigener Computer (localhost) ist.

Nach Abschluss des Scans können Sie die gespeicherten Ergebnisse anzeigen, indem Sie die Datei fin.txt mit einem Texteditor wie nano öffnen.

nano fin.txt

Die Datei wird die gleichen Informationen enthalten, die während des Scans auf dem Bildschirm angezeigt wurden, aber in einem strukturierten Format.

Beispielinhalt von fin.txt:

## Nmap 7.80 scan initiated Tue Oct 27 10:15:00 2023
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000027s latency).
Not shown: 999 closed ports
PORT    STATE    SERVICE
22/tcp  filtered ssh

## Nmap done at Tue Oct 27 10:15:02 2023 -- 1 IP address (1 host up) scanned in 1.89 seconds

Sie können nun diese Datei für eine weitere Analyse oder Berichterstattung verwenden.

Vergleichen Sie den FIN-Scan mit dem TCP-Scan im Xfce-Terminal

In diesem Schritt werden Sie die Ergebnisse eines FIN-Scans mit einem TCP-Verbindungs-Scan vergleichen. Dieser Vergleich wird die Unterschiede in der Art und Weise aufzeigen, wie diese Scans offene Ports identifizieren und wie Firewalls sie möglicherweise unterschiedlich behandeln.

Ein TCP-Verbindungs-Scan (-sT) etabliert eine vollständige TCP-Verbindung mit dem Ziel, was ihn zuverlässiger macht, aber auch leichter auffindbar. Ein FIN-Scan (-sF), anderseits, sendet ein FIN-Paket, das von Firewalls weniger wahrscheinlich protokolliert wird, aber nicht immer genaue Ergebnisse liefern kann.

Öffnen Sie Ihren Xfce-Terminal.

Zuerst führen Sie einen TCP-Verbindungs-Scan auf localhost (127.0.0.1) durch:

sudo nmap -sT 127.0.0.1

Dieser Befehl wird versuchen, eine vollständige TCP-Verbindung zu jedem Port auf Ihrem lokalen Computer herzustellen.

Als nächstes führen Sie einen FIN-Scan auf das gleiche Ziel durch:

sudo nmap -sF 127.0.0.1

Vergleichen Sie nun die Ergebnisse der beiden Scans. Sie werden möglicherweise bemerken, dass der TCP-Verbindungs-Scan mehr offene Ports identifiziert als der FIN-Scan. Dies liegt daran, dass einige Firewalls oder Systeme FIN-Pakete blockieren oder ignorieren können, was zu ungenauen Ergebnissen führt.

Beispielausgabe des TCP-Verbindungs-Scans:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000026s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
631/tcp  open  ipp
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Beispielausgabe des FIN-Scans:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:21 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000026s latency).
Not shown: 999 closed ports
PORT    STATE    SERVICE
22/tcp  filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 1.89 seconds

In diesem Beispiel zeigt der TCP-Verbindungs-Scan die Ports 22, 631 und 3306 als offen, während der FIN-Scan nur Port 22 als gefiltert anzeigt. Dies demonstriert, wie verschiedene Scantypen unterschiedliche Ergebnisse liefern können und warum es wichtig ist, eine Vielzahl von Techniken bei der Netzwerkaufklärung zu verwenden. Der Status filtered bedeutet, dass eine Firewall, ein Filter oder ein anderes Netzwerkhindernis den Port blockiert und Nmap daran hindert, zu bestimmen, ob er offen oder geschlossen ist.

Analysieren von offenen Ports im Xfce-Terminal

In diesem Schritt werden Sie die im vorherigen Scan identifizierten offenen Ports analysieren, um zu verstehen, welche Dienste auf dem Zielsystem laufen. Dies beinhaltet die Interpretation der Nmap-Ausgabe und die Recherche über den Zweck jedes offenen Ports.

Öffnen Sie Ihren Xfce-Terminal.

Nehmen wir an, Sie haben im vorherigen Schritt einen TCP-Verbindungs-Scan (sudo nmap -sT 127.0.0.1) durchgeführt und erhalten die folgende Ausgabe:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:20 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000026s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
631/tcp  open  ipp
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Diese Ausgabe zeigt an, dass die Ports 22, 631 und 3306 auf Ihrem lokalen Computer offen sind. Analysieren wir nun jeden dieser Ports:

  • Port 22 (ssh): Dieser Port wird normalerweise für SSH (Secure Shell) verwendet, ein sicherer Prototyp für die Fernanmeldung und die Befehlsausführung. Wenn dieser Port offen ist, bedeutet dies, dass ein SSH-Server auf Ihrem Computer läuft und Sie es von außen her verbinden können.

  • Port 631 (ipp): Dieser Port wird für IPP (Internet Printing Protocol) verwendet, ein Protokoll für das Drucken über ein Netzwerk. Wenn dieser Port offen ist, bedeutet dies, dass ein Druckdienst auf Ihrem Computer läuft und Sie Dokumente von außen her drucken können.

  • Port 3306 (mysql): Dieser Port ist der Standardport für MySQL, ein beliebtes Open-Source relationales Datenbankmanagementsystem. Wenn dieser Port offen ist, bedeutet dies, dass ein MySQL-Server auf Ihrem Computer läuft und Sie auf die Datenbanken zugreifen und verwalten können.

Um diese Dienste weiter zu untersuchen, können Sie andere Tools wie netstat oder ss verwenden, um zu überprüfen, welche Prozesse auf diesen Ports lauschen. Beispielsweise können Sie den folgenden Befehl verwenden, um den Prozess zu überprüfen, der auf Port 22 lauscht:

sudo netstat -tulnp | grep :22

Dieser Befehl wird die Prozess-ID (PID) und den Namen des Prozesses anzeigen, der auf Port 22 lauscht.

Beispielausgabe:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1234/sshd

Diese Ausgabe zeigt an, dass der sshd-Prozess (SSH-Dämon) auf Port 22 lauscht.

Indem Sie die offenen Ports und die auf ihnen laufenden Dienste analysieren, können Sie wertvolle Einblicke in die Sicherheitslage des Zielsystems erhalten und potenzielle Schwachstellen identifizieren.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie mit Nmap einen TCP-FIN-Scan durchführen. Sie haben begonnen, indem Sie einen grundlegenden FIN-Scan mit dem Befehl nmap -sF und einem Ziel-IP-Adresse durchgeführt haben. Sie haben auch gelernt, wie Sie bestimmte Ports scannen, die Ausführlichkeit des Scans erhöhen und die Ergebnisse in eine Datei speichern. Darüber hinaus haben Sie den FIN-Scan mit einem TCP-Scan verglichen und offene Ports im Xfce-Terminal analysiert. Ein FIN-Scan sendet ein FIN-Paket an den Zielhost, was helfen kann, bestimmte Firewalls oder Intrusion-Detection-Systeme zu umgehen.

Verwandt Nmap Kurse
Schnellstart mit Nmap

Schnellstart mit Nmap

CybersecurityNmap
Anfänger