LabEx
AnmeldenKostenlos beitreten

TCP Xmas Scanning mit Nmap durchführen

NmapNmapBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Labyrinth lernen Sie, wie Sie mit Nmap eine TCP-Xmas-Scan durchführen. Das Labyrinth umfasst verschiedene Aspekte des Xmas-Scans, darunter das Ausführen eines grundlegenden Scans auf eine Ziel-IP, das Scannen von bestimmten Ports, die Hinzufügung von Ausführlichkeit zum Scan, das Speichern der Scanergebnisse, das Vergleichen von Xmas-Scans mit FIN-Scans und die Analyse der Ergebnisse im Xfce-Terminal. Sie werden verstehen, wie Xmas-Scans funktionieren, indem Sie die FIN-, PSH- und URG-Flags im TCP-Header festlegen, um offene oder gefilterte Ports auf einem Zielsystem zu identifizieren.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/tcp_connect_scan("Basic TCP Connect Scan") nmap/NmapGroup -.-> nmap/output_formats("Output Formats") nmap/NmapGroup -.-> nmap/save_output("Save Output to File") nmap/NmapGroup -.-> nmap/port_scanning("Port Scanning Methods") nmap/NmapGroup -.-> nmap/scan_types("Scan Types and Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/verbosity("Verbosity Levels") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/tcp_connect_scan -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/output_formats -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/save_output -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/port_scanning -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/scan_types -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/target_specification -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/verbosity -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/syn_scan -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} nmap/stealth_scanning -.-> lab-547106{{"TCP Xmas Scanning mit Nmap durchführen"}} end

Führen Sie einen Xmas-Scan mit nmap -sX 192.168.1.1 durch

In diesem Schritt werden wir einen Xmas-Scan mit Nmap durchführen. Ein Xmas-Scan ist ein Typ von Portscan, bei dem die FIN-, PSH- und URG-Flags im TCP-Header gesetzt werden. Dieser Scan wird "Xmas" genannt, weil die gesetzten Flags einem Weihnachtsbaum ähneln. Er eignet sich zur Identifizierung offener oder gefilterter Ports auf einem Zielsystem.

Bevor wir beginnen, verstehen wir, was diese Flags bedeuten:

  • FIN (Finish): Gibt das Ende einer Verbindung an.
  • PSH (Push): Fordert das Empfangssystem auf, die zwischengespeicherten Daten an die Anwendung zu senden.
  • URG (Urgent): Gibt an, dass das Urgent-Pointer-Feld relevant ist und auf Daten zeigt, die dringend verarbeitet werden sollten.

Wenn ein Host ein Xmas-Scan-Paket erhält, sollte er mit einem RST (reset)-Paket antworten, wenn der Port geschlossen ist. Wenn der Port offen ist, sollte der Host das Paket ablehnen und nicht antworten. Einige Systeme können jedoch nicht richtig antworten, was hilfreich sein kann, um das Betriebssystem oder die Firewall-Regeln zu identifizieren.

Lassen Sie uns jetzt den Xmas-Scan gegen die Ziel-IP-Adresse 192.168.1.1 ausführen. Öffnen Sie Ihren Xfce-Terminal und führen Sie den folgenden Befehl aus:

sudo nmap -sX 192.168.1.1

Dieser Befehl 告诉 Nmap, einen Xmas-Scan (-sX) auf die Ziel-IP-Adresse 192.168.1.1 durchzuführen. Sie benötigen sudo-Rechte, um diesen Befehl auszuführen.

Nach Abschluss des Scans wird Nmap die Ergebnisse anzeigen. Die Ausgabe wird zeigen, welche Ports als offen, geschlossen oder gefiltert betrachtet werden, basierend auf den Antworten (oder dem Fehlen davon) des Zielsystems.

Beispielausgabe (die tatsächliche Ausgabe variiert je nach Zielsystem):

Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
All 1000 scanned ports on 192.168.1.1 are filtered

Nmap done: 1 IP address (1 host up) scanned in 3.21 seconds

In diesem Beispiel werden alle 1000 gescannten Ports als gefiltert gemeldet. Dies bedeutet, dass Nmap nicht bestimmen konnte, ob die Ports offen oder geschlossen sind, da das Zielsystem wahrscheinlich die Scan-Pakete blockiert oder filtert.

Scannen von bestimmten Ports mit nmap -sX -p 22,80 127.0.0.1

In diesem Schritt werden wir unseren Xmas-Scan auf bestimmte Ports konzentrieren. Dies ist nützlich, wenn Sie schnell den Status bestimmter Dienste auf einem Zielcomputer überprüfen möchten, anstatt alle Ports zu scannen. Wir werden die Ports 22 (SSH) und 80 (HTTP) auf dem lokalen Host (127.0.0.1) scannen.

Die -p-Option in Nmap ermöglicht es Ihnen, anzugeben, welche Ports zu scannen. Sie können einen einzelnen Port, einen Portbereich (z.B. 1-100) oder eine komma-getrennte Liste von Ports (z.B. 22,80,443) angeben.

Um die Ports 22 und 80 mit einem Xmas-Scan zu scannen, öffnen Sie Ihren Xfce-Terminal und führen Sie folgenden Befehl aus:

sudo nmap -sX -p 22,80 127.0.0.1

Dieser Befehl 告诉 Nmap, einen Xmas-Scan (-sX) auf den Ports 22 und 80 (-p 22,80) der Ziel-IP-Adresse 127.0.0.1 (localhost) durchzuführen. Sie benötigen sudo-Rechte, um diesen Befehl auszuführen.

Nach Abschluss des Scans wird Nmap die Ergebnisse für die angegebenen Ports anzeigen. Die Ausgabe wird anzeigen, ob die Ports offen, geschlossen oder gefiltert sind.

Beispielausgabe (die tatsächliche Ausgabe kann variieren):

Starting Nmap 7.80 ( https://nmap.org )
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).

PORT   STATE    SERVICE
22/tcp filtered ssh
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

In diesem Beispiel werden sowohl der Port 22 als auch der Port 80 als gefiltert gemeldet. Dies bedeutet, dass Nmap nicht bestimmen konnte, ob diese Ports offen oder geschlossen sind, möglicherweise aufgrund von Firewall-Regeln oder anderen Netzwerk-Konfigurationen auf dem localhost.

Fügen Sie der Nmap-Ausgabe mehr Details hinzu mit -v -sX 192.168.1.1

In diesem Schritt werden wir der Ausgabe unserer Xmas-Scans mehr Details hinzufügen. Die Ausgabe von Nmap kann mit der Option -v detaillierter gemacht werden. Dies kann hilfreich sein, um zu verstehen, was Nmap gerade macht und um Probleme zu beheben, die auftauchen können.

Die Option -v in Nmap erhöht das Ausführlichkeitslevel. Mit -v erhalten Sie eine normale Ausführlichkeit, mit -vv eine noch detailliertere Ausgabe.

Um einen Xmas-Scan mit erhöhter Ausführlichkeit auszuführen, öffnen Sie Ihren Xfce-Terminal und führen Sie folgenden Befehl aus:

sudo nmap -v -sX 192.168.1.1

Dieser Befehl 告诉 Nmap, einen Xmas-Scan (-sX) auf die Ziel-IP-Adresse 192.168.1.1 mit erhöhter Ausführlichkeit (-v) durchzuführen. Sie benötigen sudo-Rechte, um diesen Befehl auszuführen.

Die Ausgabe wird jetzt mehr Informationen über den Scanprozess enthalten, wie die gescannten Ports, die gesendeten Pakete und alle empfangenen Antworten.

Beispielausgabe (die tatsächliche Ausgabe variiert je nach Zielsystem und Netzwerkkonfiguration):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
NSE: Loaded 0 scripts for scanning.
Initiating Xmas Scan at 10:00
Scanning 192.168.1.1 [1000 ports]
Completed Xmas Scan at 10:00, 0.00s elapsed (1000 total ports)
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
All 1000 scanned ports on 192.168.1.1 are filtered

Nmap done: 1 IP address (1 host up) scanned in 3.21 seconds

Die detaillierte Ausgabe liefert mehr Informationen über den Fortschritt des Scans, einschließlich der Start- und Endzeiten, der Anzahl der gescannten Ports und aller 遇到的错误或警告。

Speichern Sie die Ergebnisse eines Xmas-Scans mit nmap -sX -oN xmas.txt 127.0.0.1

In diesem Schritt werden wir lernen, wie man die Ergebnisse eines Xmas-Scans in eine Datei speichert. Dies ist nützlich für spätere Analysen oder um Ihre Ergebnisse zu dokumentieren. Nmap bietet mehrere Optionen zum Speichern von Scanergebnissen in verschiedenen Formaten. Die Option -oN speichert die Ergebnisse im "normalen", menschenlesbaren Format.

Um die Ergebnisse eines Xmas-Scans in eine Datei namens xmas.txt zu speichern, öffnen Sie Ihren Xfce-Terminal und führen Sie folgenden Befehl aus:

sudo nmap -sX -oN xmas.txt 127.0.0.1

Dieser Befehl 告诉 Nmap, einen Xmas-Scan (-sX) auf die Ziel-IP-Adresse 127.0.0.1 (localhost) durchzuführen und die Ergebnisse im normalen Format (-oN) in die Datei xmas.txt zu speichern. Die Datei wird im aktuellen Verzeichnis erstellt, das ~/project ist. Sie benötigen sudo-Rechte, um diesen Befehl auszuführen.

Nach Abschluss des Scans können Sie den Inhalt der Datei xmas.txt mit dem Befehl cat oder einem Texteditor wie nano anzeigen.

cat xmas.txt

Beispielausgabe (die tatsächliche Ausgabe kann variieren):

## Nmap 7.80 scan initiated Tue Oct 27 10:00:00 2023
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

## Nmap done at Tue Oct 27 10:00:00 2023 -- 1 IP address (1 host up) scanned in 0.12 seconds

Alternativ können Sie nano verwenden, um die Datei zu öffnen und anzuzeigen:

nano xmas.txt

Dies wird die Datei xmas.txt im Texteditor nano öffnen und Ihnen die Möglichkeit geben, die Scanergebnisse zu untersuchen. Denken Sie daran, nano zu speichern und zu beenden, indem Sie Ctrl+X drücken, dann Y, um das Speichern zu bestätigen, und schließlich Enter.

Vergleichen Sie einen Xmas-Scan mit einem FIN-Scan im Xfce-Terminal

In diesem Schritt werden wir die Ergebnisse eines Xmas-Scans mit denen eines FIN-Scans vergleichen. Sowohl Xmas- als auch FIN-Scans sind Arten von Stealth-Scans, die verwendet werden können, um offene Ports auf einem Zielsystem zu identifizieren. Sie funktionieren, indem sie speziell geformte TCP-Pakete an das Ziel senden und die Antworten analysieren.

Zunächst führen wir einen FIN-Scan auf dem localhost (127.0.0.1) aus:

sudo nmap -sF 127.0.0.1

Dieser Befehl 告诉 Nmap, einen FIN-Scan (-sF) auf die Ziel-IP-Adresse 127.0.0.1 durchzuführen. Sie benötigen sudo-Rechte, um diesen Befehl auszuführen.

Beispielausgabe (die tatsächliche Ausgabe kann variieren):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:00 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Vergleichen wir nun diese Ausgabe mit der Ausgabe des zuvor durchgeführten Xmas-Scans. Sie können entweder in Ihrem Terminal-History zurückscrollen, um die vorherige Xmas-Scan-Ausgabe zu finden, oder Sie können den Xmas-Scan erneut ausführen:

sudo nmap -sX 127.0.0.1

Beispielausgabe (die tatsächliche Ausgabe kann variieren):

Starting Nmap 7.80 ( https://nmap.org ) at 2023-10-27 10:01 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000029s latency).
All 1000 scanned ports on localhost (127.0.0.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Beobachten Sie die Ähnlichkeiten und Unterschiede zwischen den beiden Scan-Ergebnissen. In vielen Fällen werden die Ergebnisse identisch sein und alle Ports als gefiltert angezeigt werden. Dies liegt daran, dass viele moderne Firewalls und Betriebssysteme so konfiguriert sind, diese Art von Paketen abzulehnen oder zu ignorieren.

Um die Vergleichung weiter zu vertiefen, können Sie die FIN-Scan-Ergebnisse in eine Datei speichern, ähnlich wie wir es mit dem Xmas-Scan getan haben:

sudo nmap -sF -oN fin.txt 127.0.0.1

Anschließend können Sie den diff-Befehl verwenden, um die beiden Dateien zu vergleichen:

diff xmas.txt fin.txt

Dieser Befehl zeigt Ihnen alle Unterschiede zwischen den Dateien xmas.txt und fin.txt. Wenn die Scans identische Ergebnisse erzeugt haben, wird der diff-Befehl nichts ausgeben.

Ergebnisse im Xfce-Terminal analysieren

In diesem Schritt werden wir die Ergebnisse der von uns durchgeführten Nmap-Scans analysieren. Das Verständnis der Ausgabe von Nmap-Scans ist entscheidend für die Identifizierung von potenziellen Schwachstellen und Sicherheitsrisiken.

Lassen Sie uns beginnen, indem wir die Datei xmas.txt untersuchen, die die Ergebnisse des Xmas-Scans enthält. Sie können den Inhalt dieser Datei mit dem Befehl cat oder einem Texteditor wie nano anzeigen:

cat xmas.txt

oder

nano xmas.txt

Die Ausgabe wird normalerweise die folgenden Informationen enthalten:

  • Nmap-Version: Die Version von Nmap, die für den Scan verwendet wurde.
  • Scanstartzeit: Das Datum und die Uhrzeit, zu der der Scan gestartet wurde.
  • Zielinformationen: Die IP-Adresse oder der Hostname des Zielsystems.
  • Hoststatus: Ob das Zielhost aktiv oder inaktiv ist.
  • Portstatus: Der Status jedes durchgeführten Ports (z.B. offen, geschlossen, gefiltert).
  • Scanendezeit: Das Datum und die Uhrzeit, zu der der Scan abgeschlossen wurde.

Im Falle von Xmas- und FIN-Scans werden Sie oft feststellen, dass alle Ports als "gefiltert" gemeldet werden. Dies bedeutet, dass Nmap nicht bestimmen konnte, ob die Ports offen oder geschlossen sind, da das Zielsystem auf die Scanpakete nicht in einer Weise reagierte, die Nmap eine endgültige Bestimmung ermöglichte. Dies ist ein häufiges Ergebnis, wenn Sie Systeme, die von Firewalls oder Intrusion Detection Systemen (IDS) geschützt werden, scannen.

Wenn Sie Ports als "offen" oder "geschlossen" sehen, bedeutet dies, dass das Zielsystem auf die Scanpakete auf vorhersehbare Weise reagierte. Es ist jedoch wichtig zu beachten, dass Xmas- und FIN-Scans unzuverlässig sein können und die Ergebnisse nicht immer genau sein müssen.

Um ein genaueres Bild der offenen Ports des Zielsystems zu erhalten, müssen Sie möglicherweise andere Arten von Nmap-Scans verwenden, wie z.B. einen TCP-Verbindungs-Scan (-sT) oder einen SYN-Scan (-sS). Diese Scans sind zuverlässiger, können aber auch leichter von Firewalls und IDS erkannt werden.

Zusammenfassend lässt sich sagen, dass das Analysieren von Nmap-Scanergebnissen das sorgfältige Prüfen der Ausgabe zur Identifizierung von potenziellen Schwachstellen und Sicherheitsrisiken erfordert. Es ist wichtig, die verschiedenen Arten von Nmap-Scans und die Einschränkungen jedes Scan-Typs zu verstehen. Indem Sie verschiedene Scan-Techniken kombinieren und die Ergebnisse sorgfältig analysieren, können Sie ein vollständigeres Verständnis der Sicherheitslage des Zielsystems gewinnen.

Zusammenfassung

In diesem Lab lernen die Teilnehmer, wie sie mit Nmap einen TCP-Xmas-Scan durchführen. Sie beginnen, indem sie einen grundlegenden Xmas-Scan auf eine Ziel-IP (192.168.1.1) mit dem Befehl nmap -sX ausführen und verstehen, dass damit die FIN-, PSH- und URG-Flags im TCP-Header gesetzt werden, um offene oder gefilterte Ports zu identifizieren. Sie lernen auch, bestimmte Ports zu scannen, die Ausführlichkeit des Scans zu erhöhen und die Ergebnisse in eine Datei zu speichern. Darüber hinaus vergleichen sie Xmas-Scans mit FIN-Scans und analysieren die Ergebnisse im Xfce-Terminal.

Verwandt Nmap Kurse
Schnellstart mit Nmap

Schnellstart mit Nmap

CybersecurityNmap
Anfänger