Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Nmap Scanmethoden -P* funktionieren nicht

geschrieben am 06.04.2007 um 16:37 von ok1977

Hallo,

ich beschäftige mich schon länger mit nmap. Verwende für die nähere Diagnose einen Netzwerksniffer (Wireshark)

Ich teste momentan an 2 Linux-PC (Suse 10.2) und 2 Windows XP SP1 Rechnern. Dabei ist folgendes Problem aufgetreten, wofür ich keine Erklärung habe.

Möchte ich den Befehl -sP zum aufspüren von Hosts verwenden, funktioniert er unter XP wunderbar.

Allerdings auf meinen Linuxkisten verhält sich diese Befehl sehr seltsam

nmap -sP -v -n 192.168.1.0/24

pingt mir einfach nicht das Netzwerk an. Nach 5 Hosts bleibt er hängen. Wireshark zeigt das gleiche an, dass nach 5 Hosts nichts weiter passiert. Was ist da los?

Außerdem geben die Befehle -PA, PS, PI, PB, PR, PU immer den gleichen Scan aus. Zuerst werden ARP-Pings im Netz durchgeführt und dann startet automatisch ein Stealth-Scan. Dies ist aber doch nicht die Funktionsweise der Befehle. Es sollen doch lediglich auf Port 80 die einzelnen Hosts auf Erreichbarkeit geprüft werden.
Der UDP-Ping und ICMP-Ping sollen doch schon garnicht TCP-Scans durchführen.
Wer hat für dieses Problem eine Lösung.

Außerdem funktioniert ein UDP-Scan -sU unter Linux nicht richtig. Es werden 50 bis 250 Ports gescannt und dann passiert garnichts mehr. Unter Windows funktioniert es wunderbar. Ich weiß, dass Linuxrechner nur eine bestimmte Anzahl ICMP-Nachrichten in einem bestimmten Zeitintervall versenden. Aber ich scanne ja einen Windows-PC und da gibt es keine Restriktionen.

Bitte um Hilfe.

Mein Netzwerk ist nicht mit der Außenwelt verbunden.

Vielen Dank schon mal im Voraus

Gruß
 

geschrieben am 09.04.2007 um 10:12 von Mirko

Hallo,
ich habe gerade mal versucht, die von dir genannten Probleme nachzuvollziehen. Ist mir nicht gelungen. Allerdings habe ich nur Debian-Kisten hier zu stehen. Welche Version von nmap nutzt Du denn?

Mirko
 

geschrieben am 09.04.2007 um 12:07 von ok1977

Hallo,

erstmal danke, dass du bei dir das ausprobiert hast. Nachdem du mich nach den Versionen gefragt hast, ist mir aufgefallen, dass ich 2 verschiedneen Versionen verwende. Hatte die Standard-Version der Suse 10.2 Distribution verwendet. Das war 4.11... Bei Windows verwende ich 4.20
Habe jetzt alle Rechner auf die Version 4.20 upgedatet. Nun funktioniert auch -sP und -sU. Es gab noch verschiedene andere Probleme der Version 4.11. Die sind jetzt alle behoben

Super. Finde ich aber bedenklich, dass Suse eine nicht 100 Prozentig funktionierende Version im System implementiert hat.

Allerdings wirft sich mir trotzdem folgende Frage auf.

Alle Optionen -P* funktionieren nicht so, wie es auf der offiziellen Seite beschrieben ist.

Gebe ich folgenden Befehl ein:

nmap -PA -v -n 192.168.1.0/24

so scannt er mir das ganze Netz. Mit einem ARP-Broadcast für jede IP.

Und danach führt er den Syn-Stealth-Scan durch. Ist das bei euch auch so.

Der gleiche Ablauf ohne ein Unterschied ist bei -PS, -PE, -PB, -PU
Für was gibt es denn die Scanmethoden, wenn die alle das gleiche machen.
Laut offizieller Seite von nmap sollte beispielsweise bei einem ICMP-Ping auf das Netz ICMP Nachrichten versendet werden und kein ARP-Ping gefolgt von einem Stealth-Scan. Eigentlich soll doch der Port 80 bei jeder IP angepingt werden. Entweder mit einem Ack-Paket oder mit einem Syn-Paket oder halt mal mit einem leeren UDP-Paket. Aber die Aufzeichnungen von Wireshark zeigen nichts von diesen Eigenschaften auf. Immer das selbe

Ist das bei euch auch so. Oder habe ich einen Fehler in der Eingabe des Befehls.

Wenn mir da jemand helfen kann, wäre ich sehr dankbar.

Gruß Oliver
 

geschrieben am 11.04.2007 um 19:49 von Mirko

Die P-Optionen müssen IMO zusammen mit einer s-Option für den Scan-Typ angewendet werden. Hast Du das mal probiert?

Mirko
 

geschrieben am 11.04.2007 um 23:27 von ok1977

Ja das habe ich auch ausprobiert.

Ich glaube, wenn man kein -s Befehl voranstellt, wird automatisch der Syn-Scan verwendet.

Habe aber folgendes schon ausprobiert

nmap -sS -n -v -r -PA 192.168.1.5

Das gleiche mit -PU und -PB

Habe auch _PB direkt nach nmap gestellt. Habe einen anderen Port spezifiziert anstatt den Default Port 80

Wenn ich nmap -sP -v 192.168.1.5 ausführe, macht der auch nur einen ARP-Broadcast.

Ich weiß auch nicht mehr weiter
Habe noch nicht mal eine Firewall oder so ins System integriert.

Ist echt eine sehr merkwürdige Sache

Gruß Oliver
 

geschrieben am 13.04.2007 um 14:25 von ok1977

So ich wollte mich bei dir nochmal für die Hilfe bedanken. Habe seit heute einen Router konfiguriert und arbeite mit 2 Netzen. Seitdem funktioniert es. Ich weiß nicht warum. Es sind die selben PCs im Einsatz. Sie waren nur über Nacht ausgeschaltet. Verwende einen 2. Switch.
Sehr rätselhaft das ganze.

Naja Hauptsache es klappt jetzt. Denn gerade für 2 Netze war es ja für mich wichtig, dass die Option funktioniert.

Gruß Oliver
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019