UDP-Scanning mit Nmap durchführen

Einführung

In diesem Lab werden Sie lernen, wie Sie mit Nmap UDP-Scans ausführen. Sie beginnen mit einem grundlegenden UDP-Scan auf eine Ziel-IP-Adresse mit der Option -sU. Anschließend werden Sie spezifische UDP-Ports scannen, UDP- und TCP-Scans kombinieren und Versionenerkennung hinzufügen. Schließlich werden Sie die UDP-Scan-Ergebnisse im Xfce-Terminal anzeigen und die Ausgaben im Xfce-Texteditor vergleichen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/tcp_connect_scan("Basic TCP Connect Scan") nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/udp_scanning("UDP Scanning Techniques") nmap/NmapGroup -.-> nmap/os_version_detection("OS and Version Detection") nmap/NmapGroup -.-> nmap/service_detection("Service Detection") subgraph Lab Skills nmap/tcp_connect_scan -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/output_formats -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/save_output -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/port_scanning -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/scan_types -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/target_specification -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/udp_scanning -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/os_version_detection -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} nmap/service_detection -.-> lab-530179{{"UDP-Scanning mit Nmap durchführen"}} end

Führen Sie einen UDP-Scan mit nmap -sU 192.168.1.1 durch

In diesem Schritt werden wir einen grundlegenden UDP-Scan mit Nmap ausführen. UDP (User Datagram Protocol) ist ein verbindungsloses Protokoll, was bedeutet, dass im Gegensatz zu TCP keine Handshake durchgeführt wird, um eine Verbindung herzustellen, bevor Daten gesendet werden. Dies macht UDP-Scans von TCP-Scans unterschiedlich. Nmaps Option -sU wird verwendet, um einen UDP-Scan zu initiieren.

Bevor wir beginnen, ist es wichtig zu verstehen, dass UDP-Scans weniger zuverlässig sein können als TCP-Scans. Da UDP verbindungslos ist, kann Nmap nicht immer eine Antwort von einem Port erhalten, auch wenn der Port geöffnet ist. Firewalls und Netzwerkbedingungen können auch die Genauigkeit von UDP-Scans beeinflussen.

Lassen Sie uns beginnen, indem wir die Ziel-IP-Adresse 192.168.1.1 mit dem folgenden Befehl scannen:

sudo nmap -sU 192.168.1.1

Dieser Befehl 告诉 Nmap, einen UDP-Scan (-sU) auf die IP-Adresse 192.168.1.1 durchzuführen. Sie benötigen sudo, da UDP-Scans oft erhöhte Rechte erfordern, um rohe Pakete zu senden.

Nachdem der Befehl ausgeführt wurde, werden Sie eine Ausgabe sehen, ähnlich der folgenden:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for 192.168.1.1
Host is up (0.0010s latency).
Not shown: 997 closed udp ports
PORT      STATE         SERVICE
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf

Nmap done: 1 IP address (1 host up) scanned in 5.23 seconds

Erklärung der Ausgabe:

Starting Nmap...: Zeigt die Nmap-Version und die Startzeit des Scans an.
Nmap scan report for 192.168.1.1: Gibt die Ziel-IP-Adresse an.
Host is up: Bestätigt, dass der Zielhost erreichbar ist.
Not shown: 997 closed udp ports: Gibt an, dass Nmap die 997 geschlossenen UDP-Ports nicht angezeigt hat. Standardmäßig zeigt Nmap nur offene, open|filtered oder gefilterte Ports an.
PORT STATE SERVICE: Listet die Portnummer, ihren Zustand und den auf diesem Port laufenden Dienst (sofern bekannt) auf.
- open: Gibt an, dass Nmap eine Antwort vom Port erhalten hat, was darauf hindeutet, dass ein Dienst auf diesem Port hört.
- open|filtered: Gibt an, dass der Port entweder offen oder gefiltert ist. Nmap konnte nicht bestimmen, in welchem Zustand er sich befindet. Dies bedeutet oft, dass eine Firewall Nmaps Proben blockiert.
- filtered: Gibt an, dass eine Firewall Nmaps Proben blockiert und Nmap nicht bestimmen kann, ob der Port offen oder geschlossen ist.
Nmap done: Zeigt die Scan-Fertigstellungszeit und die Anzahl der gescannten IP-Adressen an.

Wichtige Überlegungen:

Ersetzen Sie 192.168.1.1 durch die tatsächliche IP-Adresse des Ziels, das Sie scannen möchten.
Die Ergebnisse eines UDP-Scans können je nach Netzwerkbedingungen und Firewall-Konfiguration variieren.
Ein Scan eines Netzwerks ohne Genehmigung ist illegal und unethisch. Nur scannen Sie Netzwerke, die Sie besitzen oder für die Sie ausdrückliche Genehmigungen haben.

Scannen von UDP-Ports mit nmap -sU -p 53,123 127.0.0.1

In diesem Schritt werden wir unseren UDP-Scan auf bestimmte Ports konzentrieren. Dies ist nützlich, wenn Sie überprüfen möchten, ob bestimmte Dienste auf einem Zielcomputer laufen, ohne alle UDP-Ports zu scannen, was zeitaufwendig sein kann. Wir werden die Ports 53 (DNS) und 123 (NTP) auf dem lokalen Computer (127.0.0.1) scannen.

Die Option -p in Nmap ermöglicht es Ihnen, die Ports anzugeben, die Sie scannen möchten. Sie können einen einzelnen Port, einen Portbereich (z.B. 1-100) oder eine komma-getrennte Liste von Ports (z.B. 21,22,80) angeben.

Um die UDP-Ports 53 und 123 auf 127.0.0.1 zu scannen, verwenden Sie folgenden Befehl:

sudo nmap -sU -p 53,123 127.0.0.1

Dieser Befehl 告诉 Nmap, einen UDP-Scan (-sU) auf den Ports 53 und 123 (-p 53,123) der IP-Adresse 127.0.0.1 (localhost) durchzuführen. Auch hier ist sudo oft für UDP-Scans erforderlich.

Nachdem der Befehl ausgeführt wurde, sehen Sie möglicherweise eine Ausgabe ähnlich dieser:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:05 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000047s latency).

PORT    STATE         SERVICE
53/udp  open|filtered domain
123/udp closed        ntp

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

Erklärung der Ausgabe:

Nmap scan report for localhost (127.0.0.1): Gibt an, dass das Ziel der lokale Computer ist.
PORT STATE SERVICE: Listet die Portnummer, ihren Zustand und den auf diesem Port laufenden Dienst (sofern bekannt) auf.
- 53/udp open|filtered domain: Port 53 (DNS) ist entweder offen oder gefiltert. Dies bedeutet, dass Nmap aufgrund möglicher Firewall-Regeln oder Netzwerkbedingungen nicht definitiv bestimmen konnte, ob der Port offen ist.
- 123/udp closed ntp: Port 123 (NTP) ist geschlossen. Dies bedeutet, dass kein Dienst auf diesem Port hört.

Wichtige Erkenntnisse:

Die Option -p ermöglicht es Ihnen, bestimmte Ports anzugeben, was Ihre Scans effizienter macht.
Die Ausgabe liefert Informationen über den Zustand jedes gescannten Ports (offen, geschlossen, gefiltert usw.).
Das Verständnis der mit gängigen Ports assoziierten Dienste (wie 53 für DNS und 123 für NTP) hilft Ihnen, die Scanergebnisse zu interpretieren.

Verbinden Sie UDP und TCP mit nmap -sU -sT 192.168.1.1

In diesem Schritt werden wir UDP- und TCP-Scans in einem einzigen Nmap-Befehl kombinieren. Dadurch können wir einen umfassenderen Überblick über die auf einem Zielcomputer laufenden Dienste erhalten, da einige Dienste UDP, während andere TCP verwenden.

Nmaps Option -sT führt einen TCP-Connect-Scan durch. Dies ist die einfachste Form eines TCP-Scans, bei dem Nmap versucht, eine vollständige TCP-Verbindung mit dem Zielport herzustellen. Es ist im Allgemeinen zuverlässig, kann jedoch leicht entdeckt werden.

Um sowohl einen UDP-Scan als auch einen TCP-Connect-Scan auf 192.168.1.1 durchzuführen, verwenden Sie folgenden Befehl:

sudo nmap -sU -sT 192.168.1.1

Dieser Befehl 告诉 Nmap, einen UDP-Scan (-sU) und einen TCP-Connect-Scan (-sT) auf die IP-Adresse 192.168.1.1 durchzuführen. sudo ist oft erforderlich, insbesondere für den UDP-Teil des Scans.

Nachdem der Befehl ausgeführt wurde, werden Sie eine Ausgabe sehen, die die Ergebnisse sowohl des UDP- als auch des TCP-Scans enthält. Die Ausgabe könnte so aussehen:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:10 UTC
Nmap scan report for 192.168.1.1
Host is up (0.0010s latency).
Not shown: 997 closed udp ports
PORT      STATE         SERVICE
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf
PORT      STATE    SERVICE
22/tcp    open     ssh
80/tcp    open     http

Nmap done: 1 IP address (1 host up) scanned in 7.23 seconds

Erklärung der Ausgabe:

Die Ausgabe ähnelt den vorherigen Scans, enthält jedoch jetzt die Ergebnisse für sowohl UDP- als auch TCP-Ports.
Der erste Abschnitt zeigt die UDP-Scan-Ergebnisse mit den Ports und ihren Zuständen (offen, geschlossen, gefiltert usw.).
Der zweite Abschnitt zeigt die TCP-Scan-Ergebnisse ebenfalls mit den Ports und ihren Zuständen.
Beachten Sie, dass die gleiche IP-Adresse verschiedene Dienste auf unterschiedlichen Protokollen (UDP und TCP) laufen kann.

Vorteile der Kombination von UDP- und TCP-Scans:

Umfassendere Ergebnisse: Sie erhalten einen vollständigeren Überblick über die auf dem Ziel laufenden Dienste.
Identifizierung unterschiedlicher Diensttypen: Sie können Dienste identifizieren, die UDP verwenden (z.B. DNS, NTP) und Dienste, die TCP verwenden (z.B. HTTP, SSH).

Wichtige Bemerkung:

Die Kombination von Scan-Typen kann die Scanzeit erhöhen. Wenn Sie schnellere Ergebnisse benötigen, sollten Sie sich auf bestimmte Ports konzentrieren.

Fügen Sie die Versionenerkennung mit nmap -sUV 192.168.1.1 hinzu

In diesem Schritt werden wir der Versionenerkennung in unseren UDP-Scan hinzufügen. Die Versionenerkennung ermöglicht es Nmap, die Namen und Versionsnummern der auf offenen Ports laufenden Anwendungen zu bestimmen. Dies kann wertvolle Informationen über potenzielle Schwachstellen liefern.

Die Option -sV in Nmap aktiviert die Versionenerkennung. Wenn sie mit -sU für den UDP-Scan kombiniert wird, wird sie zu -sUV. Nmap sendet Sonden an offene UDP-Ports, um den Dienst und seine Version zu identifizieren.

Um einen UDP-Scan mit Versionenerkennung auf 192.168.1.1 durchzuführen, verwenden Sie folgenden Befehl:

sudo nmap -sUV 192.168.1.1

Dieser Befehl 告诉 Nmap, einen UDP-Scan (-sU) und die Versionenerkennung (-sV) auf die IP-Adresse 192.168.1.1 durchzuführen. Die kombinierte Option ist -sUV. Wie zuvor ist sudo oft für UDP-Scans erforderlich.

Nachdem der Befehl ausgeführt wurde, sehen Sie möglicherweise eine Ausgabe ähnlich dieser:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:15 UTC
Nmap scan report for 192.168.1.1
Host is up (0.00088s latency).
Not shown: 997 closed udp ports
PORT      STATE         SERVICE VERSION
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf  Apple Bonjour
Service Info: OS: Apple embedded

Nmap done: 1 IP address (1 host up) scanned in 12.54 seconds

Erklärung der Ausgabe:

Die Ausgabe enthält jetzt eine Spalte VERSION, die die ermittelte Dienstversion (sofern verfügbar) anzeigt.
5353/udp open|filtered zeroconf Apple Bonjour: Nmap identifizierte den auf Port 5353 laufenden Dienst als Apple Bonjour.
Service Info: OS: Apple embedded: Nmap versucht auch, das Betriebssystem anhand der Dienstinformationen zu bestimmen.

Wichtige Erkenntnisse:

Die Option -sV (oder -sUV bei Kombination mit UDP-Scan) aktiviert die Versionenerkennung.
Die Versionenerkennung kann helfen, die spezifischen Anwendungen und Versionen zu identifizieren, die auf offenen Ports laufen.
Diese Informationen können verwendet werden, um potenzielle Schwachstellen zu bewerten und weitere Maßnahmen zu planen.

Wichtige Überlegungen:

Die Versionenerkennung kann länger dauern als ein einfacher Port-Scan, da Nmap zusätzliche Sonden an jeden offenen Port senden muss.
Die Genauigkeit der Versionenerkennung hängt vom Dienst und den verfügbaren Nmap-Signaturen ab. Manchmal kann Nmap den Dienst oder seine Version nicht genau identifizieren.

Zeigen Sie die UDP-Ergebnisse im Xfce-Terminal an

In diesem Schritt werden wir uns auf das Anzeigen und Analysieren der UDP-Scan-Ergebnisse direkt im Xfce-Terminal konzentrieren. Während Nmap die Ausgabe direkt an den Terminal sendet, kann es manchmal hilfreich sein, die Ausgabe in eine Datei zu speichern, um eine einfachere Überprüfung und Analyse zu ermöglichen. Wir werden Terminalbefehle verwenden, um die UDP-spezifischen Teile des Scans zu filtern und anzuzeigen.

Zunächst führen wir einen UDP-Scan durch und speichern die Ausgabe in eine Datei. Dies wird uns ermöglichen, mit den Ergebnissen einfacher umzugehen. Wir verwenden die Option -oN, um die Ausgabe im "normalen" Format zu speichern.

sudo nmap -sUV 192.168.1.1 -oN udp_scan_results.txt

Dieser Befehl führt einen UDP-Scan mit Versionenerkennung auf 192.168.1.1 durch und speichert die Ausgabe in eine Datei namens udp_scan_results.txt im aktuellen Verzeichnis (~/project).

Jetzt, da wir die Ergebnisse in einer Datei gespeichert haben, können wir Terminalbefehle verwenden, um die UDP-spezifischen Informationen anzuzeigen und zu filtern.

Um den gesamten Inhalt der Datei anzuzeigen, können Sie den Befehl cat verwenden:

cat udp_scan_results.txt

Dies wird den gesamten Nmap-Scanbericht im Terminal anzeigen. Wir interessieren uns jedoch hauptsächlich für die UDP-Ergebnisse. Wir können den Befehl grep verwenden, um die Ausgabe zu filtern und nur die Zeilen anzuzeigen, die das Wort "udp" enthalten.

grep "udp" udp_scan_results.txt

Dieser Befehl durchsucht die Datei udp_scan_results.txt nach Zeilen, die den String "udp" enthalten, und zeigt diese Zeilen im Terminal an. Die Ausgabe wird Ihnen die offenen oder gefilterten UDP-Ports sowie alle Versionierungsinformationen anzeigen, die Nmap erkennen konnte.

Beispielausgabe:

137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf  Apple Bonjour

Sie können auch den Befehl less verwenden, um die Datei seitenweise anzuzeigen:

less udp_scan_results.txt

Innerhalb von less können Sie nach "udp" suchen, indem Sie /udp eingeben und die Enter-Taste drücken. Drücken Sie n, um zum nächsten Treffer zu gelangen. Drücken Sie q, um less zu beenden.

Durch die Verwendung dieser einfachen Terminalbefehle können Sie die von Nmap generierten UDP-Scan-Ergebnisse effektiv anzeigen und analysieren. Dies ermöglicht es Ihnen, schnell offene UDP-Ports und alle zugehörigen Dienstinformationen zu identifizieren.

Vergleichen Sie die Ausgaben im Xfce-Texteditor

In diesem Schritt werden wir den Xfce-Texteditor verwenden, um die Ausgaben von verschiedenen Nmap-Scans zu vergleichen. Dies ist hilfreich, um Änderungen in offenen Ports, Diensten oder Versionen im Laufe der Zeit zu identifizieren oder um die Ergebnisse von Scans mit verschiedenen Optionen zu vergleichen.

Zunächst nehmen wir an, dass Sie bereits zwei Nmap-Scans durchgeführt haben und die Ausgaben in separate Dateien gespeichert haben. Beispielsweise könnten Sie einen grundlegenden UDP-Scan und einen UDP-Scan mit Versionenerkennung ausgeführt haben und die Ergebnisse in udp_scan_basic.txt und udp_scan_version.txt gespeichert haben. Wenn Sie diese Dateien nicht haben, erstellen Sie sie mit den folgenden Befehlen:

sudo nmap -sU 192.168.1.1 -oN udp_scan_basic.txt
sudo nmap -sUV 192.168.1.1 -oN udp_scan_version.txt

Jetzt werden wir den Befehl xfce4-terminal verwenden, um den Xfce-Texteditor (mousepad) zu öffnen und beide Dateien zum Vergleichen zu laden.

mousepad udp_scan_basic.txt udp_scan_version.txt

Dieser Befehl wird zwei Instanzen von mousepad öffnen, wobei jede die Ausgabe einer der Nmap-Dateien anzeigt.

Vergleichen der Ausgaben:

Untersuchen Sie die Ausgabe des Grundlegenden Scans (udp_scan_basic.txt): Diese Datei wird die Ergebnisse des grundlegenden UDP-Scans enthalten und zeigt die offenen oder gefilterten UDP-Ports an.
Untersuchen Sie die Ausgabe des Scans mit Versionenerkennung (udp_scan_version.txt): Diese Datei wird die Ergebnisse des UDP-Scans mit Versionenerkennung enthalten. Zusätzlich zu den offenen oder gefilterten UDP-Ports kann sie auch die ermittelten Dienstversionen anzeigen.
Vergleichen Sie Seite für Seite: Indem Sie beide Dateien in separaten Fenstern geöffnet haben, können Sie die Ergebnisse leicht Seite für Seite vergleichen. Suchen Sie nach Unterschieden in den offenen Ports, dem Zustand der Ports (offen, gefiltert, geschlossen) und der Dienstinformation.

Beispielvergleich:

udp_scan_basic.txt könnte zeigen:

137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf

udp_scan_version.txt könnte zeigen:

137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
5353/udp  open|filtered zeroconf  Apple Bonjour
Service Info: OS: Apple embedded

In diesem Beispiel war der Scan mit Versionenerkennung in der Lage, den auf Port 5353 laufenden Dienst als "Apple Bonjour" zu identifizieren und Betriebssysteminformationen bereitzustellen, die im grundlegenden Scan nicht verfügbar waren.

Indem Sie die Ausgaben im Xfce-Texteditor vergleichen, können Sie einen besseren Überblick über die Unterschiede zwischen den Scans und die zusätzlichen Informationen erhalten, die von verschiedenen Nmap-Optionen bereitgestellt werden. Dies kann wertvoll sein, um potenzielle Schwachstellen zu identifizieren und weitere Maßnahmen zu planen.

Zusammenfassung

In diesem Lab haben die Teilnehmer gelernt, UDP-Scans mit Nmap auszuführen. Sie haben mit einem grundlegenden UDP-Scan begonnen, indem sie die Option -sU auf der IP 192.168.1.1 verwendet haben, wobei sie verstanden haben, dass UDP verbindungslos ist und dass Scans möglicherweise weniger zuverlässig sind als TCP-Scans. Sie haben auch bestimmte UDP-Ports gescannt, UDP- und TCP-Scans kombiniert, Versionenerkennung hinzugefügt und die Ergebnisse im Xfce-Terminal und im Texteditor angesehen und verglichen.