Nmap Host-Pings funktionieren nicht richtig -PU, -PA

O

OliverFfm

Mitglied
Hallo an alle,

alle Optionen -P* von Nmap funktionieren nicht so, wie es auf der offiziellen Seite beschrieben ist.

Gebe ich folgenden Befehl ein:

nmap -PA -v -r -n 192.168.1.0/24

so scannt er mir das ganze Netz. Mit einem ARP-Broadcast für jede IP.

Und danach führt er den Syn-Stealth-Scan durch. Ist das bei euch auch so.

Der gleiche Ablauf ohne ein Unterschied ist bei -PS, -PE, -PB, -PU
Für was gibt es denn die Scanmethoden, wenn die alle das gleiche machen.
Laut offizieller Seite von nmap sollte beispielsweise bei einem ICMP-Ping auf das Netz ICMP Nachrichten versendet werden und kein ARP-Ping gefolgt von einem Stealth-Scan. Eigentlich soll doch der Port 80 bei jeder IP angepingt werden. Entweder mit einem Ack-Paket oder mit einem Syn-Paket oder halt mal mit einem leeren UDP-Paket. Aber die Aufzeichnungen von Wireshark zeigen nichts von diesen Eigenschaften auf. Immer denselben Scanverlauf.

Ist das bei euch auch so. Oder habe ich einen Fehler in der Eingabe des Befehls.

Wenn mir da jemand helfen kann, wäre ich sehr dankbar.

Ich verwende Suse Linux 10.2 und Windows XP SP1
Habe insegesamt 5 Rechner die ich scanne. Überall tritt das gleiche Problem auf.
Nmap habe ich in der Version 4.20 installiert. Auf jedem Rechner. 4.11 hat das gleiche Problem.

Gruß Oliver
 
Leider hilft mir das nicht. Ich verwende auch -sP. Das funktioniert auch super.
Aber wenn ich eine Friewall dazwischen schalte werden in der Regel ICMP-Nachrichten geblockt. Da komme ich mit dem einfachen Ping nicht weiter. Um einen Host auf erreichbarkeit im Netz zu prüfen kann ich beispielsweise auf Port 80 ein Ack-Paket versenden. Anwtortet der Host mit einem Rst-Paket, so weiß ich dass er up ist. Und genau diese Funktion will ich haben.
Nur zur Info. Ich habe bis jetzt noch keine Firewall installiert

Hoffe jemand weiß wo hier das Problem liegt?

Gruß Oliver
 
man nmap:

Code:
-sP: Ping Scan - go no further than determining if host is online

Code:
-PS/PA/PU [portlist]: TCP SYN/ACK or UDP discovery to given ports
         -PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes

Lesen bildet.
 
Also ich kann lesen. Finde den Kommentar nicht sehr schön.
Wenn alles bei mir kalppen würde, dann würde ich nicht um Hilfe bitten. Ich habe intensiv mich mit nmap beschäftigt. Nicht nur eine Manpage lesen, sondern auch alles auf den Seiten von insecure und einige Bücher.

Allerdings hättest du einfach sagen können, wenn man keine Scanart angibt, wird der Default Scan verwendet. Und der ist der Syn-Scan. Soweit habe ich aber nicht gedacht. Der Option -PA muß ich keine Portliste anhängen, da standradrmäßig Port 80 verwendet wird. Ich habe trotzdem mal verschiedene Szenarien durchgespielt

nmap -sS -n -v -d --packet-trace 192.168.1.10 -Pa111

nmap -PA111 -sS -n -v -d --packet-trace 192.168.1.10

nmap -sS -n -v -d --packet-trace -PA111 192.168.1.10

nmap -sF -n -v -d --packet-trace 192.168.1.10 -Pa111

nmap -sX -n -v -PA111 -d --packet-trace 192.168.1.10

nmap -sS -n -v -d --packet-trace -PU111 192.168.1.10

Auf dem zu scannenden Rechner habe ich Wireshark laufen.

Dieses Host-Descovery muß doch als Netzwerkverkehr irgendwo aufgezeichnet werden. Wird es aber nicht. Es muß doch irgend wo ein Verbidnungsversuch zu Port 80 mit einem Ack-Paket oder beim letzten Versuch mit einem leeren UDP-Paket auf Port 111

Und niergendwo ist was verzeichnet darüber.

Bitte sagt mir doch mal, ob meine Syntax stimmt. Ich finde keinen Fehler.

Wenn es bei ecuh funktioniert, dann schreibt mir doch mal bitte euren Befehl auf, damit ich es bei mir ausprobieren kann.

Vielen Dank

Gruß Oliver
 
Damit Port 80 ein "Hallo, da bin ich" raushauen kann muß da auch ein Dienst auf den zu prüfenden Maschinen laufen und deren Firewall muß auch dementsprechend konfiguriert sein. Ist das bedacht? Wenn da nämlich kein Eingang protokolliert [von wireshark] wird muss die Anfrage ja bereits vorher irgendwo abgefischt werden.
 
Zuletzt bearbeitet:
So ich habe mal 2 Logs

nmap -sS -n -r -v -d -PA 192.168.1.6

Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-11 19:54 Westeuropäische Sommerzeit
--------------- Timing report ---------------
hostgroups: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
msx-scan-delay: TCP 1000, UDP 1000
parallelism: min 0, max 0
max-retries: 10, host-timeout: 0
---------------------------------------------
Initiating ARP Ping Scan at 19:54
Scanning 192.168.1.6 [1 port]
Packet capture filter (device eth0): arp and ether dst host 00:26:54:0B:25:B3
Completed ARP Ping Scan at 19:54, 0.17s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 19:54
Scanning 192.168.1.6 [1697 ports]
Packet capture filter (device eth0): dst host 192.168.1.5 and (icmp or (tcp and (src host 192.168.1.6)))
Discovered open port 22/tcp on 192.168.1.6
Discovered open port 80/tcp on 192.168.1.6
Discovered open port 111/tcp on 192.168.1.6
Completed SYN Stealth Scan at 19:54, 0.11s elapsed (1697 total ports)
Host 192.168.1.6 appears to be up ... good.
Interesting ports on 192.168.1.6:
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
MAC Address: 00:04:76:25:F2:9E (3 Com)
Final times for host: srtt: 0 rttvar: 0 to: 100000

Nmap finished: 1 IP address (1 host up) scanned in 0.532 seconds
Raw packets sent: 1698 (74.710KB) | Rcvd: 1698 (78.104KB)

nmap -sS -n -r -v -d -PB 192.168.1.6

Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-11 20:01 Westeuropäische Sommerzeit
--------------- Timing report ---------------
hostgroups: min 1, max 100000
rtt-timeouts: init 1000, min 100, max 10000
msx-scan-delay: TCP 1000, UDP 1000
parallelism: min 0, max 0
max-retries: 10, host-timeout: 0
---------------------------------------------
Initiating ARP Ping Scan at 20:01
Scanning 192.168.1.6 [1 port]
Packet capture filter (device eth0): arp and ether dst host 00:26:54:0B:25:B3
Completed ARP Ping Scan at 20:01, 0.16s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 20:01
Scanning 192.168.1.6 [1697 ports]
Packet capture filter (device eth0): dst host 192.168.1.5 and (icmp or (tcp and (src host 192.168.1.6)))
Discovered open port 22/tcp on 192.168.1.6
Discovered open port 80/tcp on 192.168.1.6
Discovered open port 111/tcp on 192.168.1.6
Completed SYN Stealth Scan at 20:01, 0.13s elapsed (1697 total ports)
Host 192.168.1.6 appears to be up ... good.
Interesting ports on 192.168.1.6:
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
MAC Address: 00:04:76:25:F2:9E (3 Com)
Final times for host: srtt: 0 rttvar: 0 to: 100000

Nmap finished: 1 IP address (1 host up) scanned in 0.532 seconds
Raw packets sent: 1698 (74.710KB) | Rcvd: 1698 (78.104KB)

Ich habe 4 PCs an einem Switch angeschlossen. Habe keine Firewall aktiviert. Netbios ist ausgeschaltet. Es gibt keinen DNS Server. Und an meinen DSL Router bin ich auch nicht angeschlossen. Habe eben Wireshark auf dem gleichen PC gestartet, von dem ich Nmap ausführe. Habe mir den Netzwerkverkehr von Wireshark angeschaut. Es sind nur Syn und Rst/Ack Pakete des Syn-Stealth-Scan. 2 ARP-Broadcasts und natürlich die Syn-Verbindungen zu den 3 Diensten.

Stimmt die schreibweise so wie ich sie geschrieben habe?

Hoffe du kannst was mit den Daten anfangen.
Wenn nicht, sag mir auch bitte bescheid.

Gruß Oliver
 
Sehe ich das richtig das du gewissermassen eine Art "Heartbeat" für dein Windowsserver (oder Clients?) realisieren willst? Also einfach eine Kontrolle, ob die Maschinen noch leben?
 
Nee eigentlich nicht. Ehrlich gesagt sitze ich gerade an meiner Diplomarbeit. Wenn ich einfach wissen wollte, ob die Maschinen noch leben, würde ich nagios nutzen. Bekomme ja damit direkt grafisch dargestellt, wenn ein Host ausfällt. Übrigens ist das Programm wärmstens zu empfehlen.
Ich soll mein Netzwerk scannen und nach Anomalien suchen. Ich soll protokollieren, ob die Systeme sich nach den RFCs verhalten. Was passiert, wenn ich eine Firewall dazwischen schalte. Wie setze ich IDS richtig ein. Ja und mit meinen Scanns, die ich auch von Wireshark aufzeichnen lasse, analysiere ich, was genau passiert. Ob gewisse Betriebssysteme vorhersagbare IPID haben, ob manche BS das Don´t Fragment Bit immer setzen. Am Schluß soll ich ein selbst erstelltes OS-Fingerprinting entwerfen. Ich konnte mir aussuchen wie ich ein Netzwerk untersuche. Entweder ich Programmiere oder ich habe mir gedacht wieso das Rad neu erfinden, wenn es nmap gibt. Übrigens ist es das einzige Tool auf dem Markt mit diesem Funktionsumfang. Nessus war auch eine Überlegung. Aber selbst diese Client Server Geschichte nutzt nmap.
Nun weißt du was ich vorhabe. Ich möchte einfach alle Funktionen von nmap nutzen. Will schauen, ob -PA vielleicht meine Firewall durchbricht. ICMP kann ich ja einfach unterbinden.
 
Vielen Dank für diesen Link.
Habe mir mal den Bericht durchgelesen. Er bestätigt alle Recherchen, die ich gemacht habe. Fühle mich dann in meiner Meinung bestätigt.

Ich habe nun einen Router konfiguriert. Auch ohne Firewall vorerst. Arbeite jetzt mit 2 Netzen.
Kaum versuche ich die Tests durchzuführen und schon funktioniert die Host Descovery. Ich habe überhaupt keine Ahnung wieso das über 2 Netze klappt. Aber ist ok. Werde blos nichts weiter verändern und die PCs so lassen. Habe einfach nur die Netzwerkkabel umgesteckt, den Router, der vorher auch ein Test PC war konfiguriert und eine Routingtabelle erstellt.
Na zumindest funktioniert es jetzt, wo es für mich wichtig ist.

Danke dir trotzdem für deine Hilfe.

Gruß Oliver
 

Ähnliche Themen

iptables-skript, Verbesserungsvorschläge

Routing funktioniert nicht mehr nach dem Start der Firewall

iptables Problem mit der Syntax ethx

keine Verbindung nach aussen

Zurück
Oben