Nmap Host-Pings funktionieren nicht richtig -PU, -PA

Dieses Thema im Forum "Anwendungen" wurde erstellt von OliverFfm, 10.04.2007.

  1. #1 OliverFfm, 10.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Hallo an alle,

    alle Optionen -P* von Nmap funktionieren nicht so, wie es auf der offiziellen Seite beschrieben ist.

    Gebe ich folgenden Befehl ein:

    nmap -PA -v -r -n 192.168.1.0/24

    so scannt er mir das ganze Netz. Mit einem ARP-Broadcast für jede IP.

    Und danach führt er den Syn-Stealth-Scan durch. Ist das bei euch auch so.

    Der gleiche Ablauf ohne ein Unterschied ist bei -PS, -PE, -PB, -PU
    Für was gibt es denn die Scanmethoden, wenn die alle das gleiche machen.
    Laut offizieller Seite von nmap sollte beispielsweise bei einem ICMP-Ping auf das Netz ICMP Nachrichten versendet werden und kein ARP-Ping gefolgt von einem Stealth-Scan. Eigentlich soll doch der Port 80 bei jeder IP angepingt werden. Entweder mit einem Ack-Paket oder mit einem Syn-Paket oder halt mal mit einem leeren UDP-Paket. Aber die Aufzeichnungen von Wireshark zeigen nichts von diesen Eigenschaften auf. Immer denselben Scanverlauf.

    Ist das bei euch auch so. Oder habe ich einen Fehler in der Eingabe des Befehls.

    Wenn mir da jemand helfen kann, wäre ich sehr dankbar.

    Ich verwende Suse Linux 10.2 und Windows XP SP1
    Habe insegesamt 5 Rechner die ich scanne. Überall tritt das gleiche Problem auf.
    Nmap habe ich in der Version 4.20 installiert. Auf jedem Rechner. 4.11 hat das gleiche Problem.

    Gruß Oliver
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. hst

    hst :F

    Dabei seit:
    10.04.2007
    Beiträge:
    4
    Zustimmungen:
    0
    Ort:
    nähe köln
    hmm.. also das was ich unter einem ping-scan verstehe mach ich mit:
    Vielleicht hilft dir das? :)
     
  4. #3 OliverFfm, 10.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Leider hilft mir das nicht. Ich verwende auch -sP. Das funktioniert auch super.
    Aber wenn ich eine Friewall dazwischen schalte werden in der Regel ICMP-Nachrichten geblockt. Da komme ich mit dem einfachen Ping nicht weiter. Um einen Host auf erreichbarkeit im Netz zu prüfen kann ich beispielsweise auf Port 80 ein Ack-Paket versenden. Anwtortet der Host mit einem Rst-Paket, so weiß ich dass er up ist. Und genau diese Funktion will ich haben.
    Nur zur Info. Ich habe bis jetzt noch keine Firewall installiert

    Hoffe jemand weiß wo hier das Problem liegt?

    Gruß Oliver
     
  5. #4 Bâshgob, 10.04.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    man nmap:

    Code:
    -sP: Ping Scan - go no further than determining if host is online
    Code:
    -PS/PA/PU [portlist]: TCP SYN/ACK or UDP discovery to given ports
             -PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
    Lesen bildet.
     
  6. #5 OliverFfm, 11.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Also ich kann lesen. Finde den Kommentar nicht sehr schön.
    Wenn alles bei mir kalppen würde, dann würde ich nicht um Hilfe bitten. Ich habe intensiv mich mit nmap beschäftigt. Nicht nur eine Manpage lesen, sondern auch alles auf den Seiten von insecure und einige Bücher.

    Allerdings hättest du einfach sagen können, wenn man keine Scanart angibt, wird der Default Scan verwendet. Und der ist der Syn-Scan. Soweit habe ich aber nicht gedacht. Der Option -PA muß ich keine Portliste anhängen, da standradrmäßig Port 80 verwendet wird. Ich habe trotzdem mal verschiedene Szenarien durchgespielt

    nmap -sS -n -v -d --packet-trace 192.168.1.10 -Pa111

    nmap -PA111 -sS -n -v -d --packet-trace 192.168.1.10

    nmap -sS -n -v -d --packet-trace -PA111 192.168.1.10

    nmap -sF -n -v -d --packet-trace 192.168.1.10 -Pa111

    nmap -sX -n -v -PA111 -d --packet-trace 192.168.1.10

    nmap -sS -n -v -d --packet-trace -PU111 192.168.1.10

    Auf dem zu scannenden Rechner habe ich Wireshark laufen.

    Dieses Host-Descovery muß doch als Netzwerkverkehr irgendwo aufgezeichnet werden. Wird es aber nicht. Es muß doch irgend wo ein Verbidnungsversuch zu Port 80 mit einem Ack-Paket oder beim letzten Versuch mit einem leeren UDP-Paket auf Port 111

    Und niergendwo ist was verzeichnet darüber.

    Bitte sagt mir doch mal, ob meine Syntax stimmt. Ich finde keinen Fehler.

    Wenn es bei ecuh funktioniert, dann schreibt mir doch mal bitte euren Befehl auf, damit ich es bei mir ausprobieren kann.

    Vielen Dank

    Gruß Oliver
     
  7. #6 Bâshgob, 11.04.2007
    Zuletzt bearbeitet: 11.04.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Damit Port 80 ein "Hallo, da bin ich" raushauen kann muß da auch ein Dienst auf den zu prüfenden Maschinen laufen und deren Firewall muß auch dementsprechend konfiguriert sein. Ist das bedacht? Wenn da nämlich kein Eingang protokolliert [von wireshark] wird muss die Anfrage ja bereits vorher irgendwo abgefischt werden.
     
  8. #7 OliverFfm, 11.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    So ich habe mal 2 Logs

    nmap -sS -n -r -v -d -PA 192.168.1.6

    Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-11 19:54 Westeuropäische Sommerzeit
    --------------- Timing report ---------------
    hostgroups: min 1, max 100000
    rtt-timeouts: init 1000, min 100, max 10000
    msx-scan-delay: TCP 1000, UDP 1000
    parallelism: min 0, max 0
    max-retries: 10, host-timeout: 0
    ---------------------------------------------
    Initiating ARP Ping Scan at 19:54
    Scanning 192.168.1.6 [1 port]
    Packet capture filter (device eth0): arp and ether dst host 00:26:54:0B:25:B3
    Completed ARP Ping Scan at 19:54, 0.17s elapsed (1 total hosts)
    Initiating SYN Stealth Scan at 19:54
    Scanning 192.168.1.6 [1697 ports]
    Packet capture filter (device eth0): dst host 192.168.1.5 and (icmp or (tcp and (src host 192.168.1.6)))
    Discovered open port 22/tcp on 192.168.1.6
    Discovered open port 80/tcp on 192.168.1.6
    Discovered open port 111/tcp on 192.168.1.6
    Completed SYN Stealth Scan at 19:54, 0.11s elapsed (1697 total ports)
    Host 192.168.1.6 appears to be up ... good.
    Interesting ports on 192.168.1.6:
    Not shown: 1694 closed ports
    PORT STATE SERVICE
    22/tcp open ssh
    80/tcp open http
    111/tcp open rpcbind
    MAC Address: 00:04:76:25:F2:9E (3 Com)
    Final times for host: srtt: 0 rttvar: 0 to: 100000

    Nmap finished: 1 IP address (1 host up) scanned in 0.532 seconds
    Raw packets sent: 1698 (74.710KB) | Rcvd: 1698 (78.104KB)

    nmap -sS -n -r -v -d -PB 192.168.1.6

    Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-11 20:01 Westeuropäische Sommerzeit
    --------------- Timing report ---------------
    hostgroups: min 1, max 100000
    rtt-timeouts: init 1000, min 100, max 10000
    msx-scan-delay: TCP 1000, UDP 1000
    parallelism: min 0, max 0
    max-retries: 10, host-timeout: 0
    ---------------------------------------------
    Initiating ARP Ping Scan at 20:01
    Scanning 192.168.1.6 [1 port]
    Packet capture filter (device eth0): arp and ether dst host 00:26:54:0B:25:B3
    Completed ARP Ping Scan at 20:01, 0.16s elapsed (1 total hosts)
    Initiating SYN Stealth Scan at 20:01
    Scanning 192.168.1.6 [1697 ports]
    Packet capture filter (device eth0): dst host 192.168.1.5 and (icmp or (tcp and (src host 192.168.1.6)))
    Discovered open port 22/tcp on 192.168.1.6
    Discovered open port 80/tcp on 192.168.1.6
    Discovered open port 111/tcp on 192.168.1.6
    Completed SYN Stealth Scan at 20:01, 0.13s elapsed (1697 total ports)
    Host 192.168.1.6 appears to be up ... good.
    Interesting ports on 192.168.1.6:
    Not shown: 1694 closed ports
    PORT STATE SERVICE
    22/tcp open ssh
    80/tcp open http
    111/tcp open rpcbind
    MAC Address: 00:04:76:25:F2:9E (3 Com)
    Final times for host: srtt: 0 rttvar: 0 to: 100000

    Nmap finished: 1 IP address (1 host up) scanned in 0.532 seconds
    Raw packets sent: 1698 (74.710KB) | Rcvd: 1698 (78.104KB)

    Ich habe 4 PCs an einem Switch angeschlossen. Habe keine Firewall aktiviert. Netbios ist ausgeschaltet. Es gibt keinen DNS Server. Und an meinen DSL Router bin ich auch nicht angeschlossen. Habe eben Wireshark auf dem gleichen PC gestartet, von dem ich Nmap ausführe. Habe mir den Netzwerkverkehr von Wireshark angeschaut. Es sind nur Syn und Rst/Ack Pakete des Syn-Stealth-Scan. 2 ARP-Broadcasts und natürlich die Syn-Verbindungen zu den 3 Diensten.

    Stimmt die schreibweise so wie ich sie geschrieben habe?

    Hoffe du kannst was mit den Daten anfangen.
    Wenn nicht, sag mir auch bitte bescheid.

    Gruß Oliver
     
  9. #8 Bâshgob, 12.04.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Sehe ich das richtig das du gewissermassen eine Art "Heartbeat" für dein Windowsserver (oder Clients?) realisieren willst? Also einfach eine Kontrolle, ob die Maschinen noch leben?
     
  10. #9 OliverFfm, 12.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Nee eigentlich nicht. Ehrlich gesagt sitze ich gerade an meiner Diplomarbeit. Wenn ich einfach wissen wollte, ob die Maschinen noch leben, würde ich nagios nutzen. Bekomme ja damit direkt grafisch dargestellt, wenn ein Host ausfällt. Übrigens ist das Programm wärmstens zu empfehlen.
    Ich soll mein Netzwerk scannen und nach Anomalien suchen. Ich soll protokollieren, ob die Systeme sich nach den RFCs verhalten. Was passiert, wenn ich eine Firewall dazwischen schalte. Wie setze ich IDS richtig ein. Ja und mit meinen Scanns, die ich auch von Wireshark aufzeichnen lasse, analysiere ich, was genau passiert. Ob gewisse Betriebssysteme vorhersagbare IPID haben, ob manche BS das Don´t Fragment Bit immer setzen. Am Schluß soll ich ein selbst erstelltes OS-Fingerprinting entwerfen. Ich konnte mir aussuchen wie ich ein Netzwerk untersuche. Entweder ich Programmiere oder ich habe mir gedacht wieso das Rad neu erfinden, wenn es nmap gibt. Übrigens ist es das einzige Tool auf dem Markt mit diesem Funktionsumfang. Nessus war auch eine Überlegung. Aber selbst diese Client Server Geschichte nutzt nmap.
    Nun weißt du was ich vorhabe. Ich möchte einfach alle Funktionen von nmap nutzen. Will schauen, ob -PA vielleicht meine Firewall durchbricht. ICMP kann ich ja einfach unterbinden.
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. #10 Bâshgob, 12.04.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Hilft dir dies hier ggf. weiter? Sollte doch zumindest ein paar Denkanstösse liefern.
     
  13. #11 OliverFfm, 13.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Vielen Dank für diesen Link.
    Habe mir mal den Bericht durchgelesen. Er bestätigt alle Recherchen, die ich gemacht habe. Fühle mich dann in meiner Meinung bestätigt.

    Ich habe nun einen Router konfiguriert. Auch ohne Firewall vorerst. Arbeite jetzt mit 2 Netzen.
    Kaum versuche ich die Tests durchzuführen und schon funktioniert die Host Descovery. Ich habe überhaupt keine Ahnung wieso das über 2 Netze klappt. Aber ist ok. Werde blos nichts weiter verändern und die PCs so lassen. Habe einfach nur die Netzwerkkabel umgesteckt, den Router, der vorher auch ein Test PC war konfiguriert und eine Routingtabelle erstellt.
    Na zumindest funktioniert es jetzt, wo es für mich wichtig ist.

    Danke dir trotzdem für deine Hilfe.

    Gruß Oliver
     
Thema:

Nmap Host-Pings funktionieren nicht richtig -PU, -PA

Die Seite wird geladen...

Nmap Host-Pings funktionieren nicht richtig -PU, -PA - Ähnliche Themen

  1. Nmap 7.10 mit zahlreichen neuen Skripten und Fingerabdrücken

    Nmap 7.10 mit zahlreichen neuen Skripten und Fingerabdrücken: Der Nmap-Entwickler Gordon »Fyodor« Lyon hat bekannt gegeben, dass eine neue Version des populären, freien Netzwerkscanners veröffentlicht wurde....
  2. Nmap 7.10 mit zahlreichen neuen Skripten und Fingerabdrücken

    Nmap 7.10 mit zahlreichen neuen Skripten und Fingerabdrücken: Der Nmap-Entwickler Gordon »Fyodor« Lyon hat bekannt gegeben, dass eine neue Version des populären, freien Netzwerkscanners veröffentlicht wurde....
  3. Nmap 7 mit vielen neuen NSE-Skripten veröffentlicht

    Nmap 7 mit vielen neuen NSE-Skripten veröffentlicht: Das Nmap-Projekt hat seinen Sicherheitsscanner nach mehrjähriger Entwicklungsarbeit in der Version 7.00 veröffentlicht. Weiterlesen...
  4. Nmap 7 mit vielen neuen NSE-Scripten veröffentlicht

    Nmap 7 mit vielen neuen NSE-Scripten veröffentlicht: Das Nmap-Projekt hat seinen Sicherheitsscanner nach mehrjähriger Entwicklungsarbeit in der Version 7.00 veröffentlicht. Seit der 2012 erschienenen...
  5. Netzwerkscanner Nmap 6.40 erschienen

    Netzwerkscanner Nmap 6.40 erschienen: Der freie Netzwerkscanner Nmap ist in der Version 6.40 erschienen. Laut Nmap-Entwickler Fyodor sind in dieser Version 14 neue NSE-Scripte,...