<\/a> <\/h2>\nEiner der allerersten Schritte bei jeder Netzwerkerkundung ist die Reduktion einer (manchmal riesigen) Menge von IP\u2212Bereichen auf eine Liste aktiver oder interessanter Hosts. Wenn man f\u00c3\u00bcr alle einzelnen IP\u2212Adressen alle Ports scannt, so ist das nicht nur langsam, sondern normalerweise auch unn\u00c3\u00b6tig. Was einen Host interessant macht, h\u00c3\u00a4ngt nat\u00c3\u00bcrlich stark vom Zweck der Untersuchung ab. Netzwerkadministratoren interessieren sich vielleicht nur f\u00c3\u00bcr Hosts, auf denen ein bestimmter Dienst l\u00c3\u00a4uft, w\u00c3\u00a4hrend Sicherheitspr\u00c3\u00bcfer sich vielleicht f\u00c3\u00bcr alle Ger\u00c3\u00a4te interessieren, die eine IP\u2212Adresse haben. Ein Administrator ben\u00c3\u00b6tigt vielleicht nur einen ICMP\u2212Ping, um Hosts in seinem internen Netzwerk zu finden, w\u00c3\u00a4hrend ein externer Penetrationstester vielleicht Dutzende ganz verschiedener Tests einsetzen wird, um zu versuchen, die Firewall\u2212Beschr\u00c3\u00a4nkungen zu umgehen.<\/font><\/p>\nDa die Anforderungen bei der Host\u2212Erkennung so verschieden sind, bietet Nmap eine breite Palette von Optionen zur Anpassung der eingesetzten Verfahren. Trotz seines Namens geht ein Ping\u2212Scan weit \u00c3\u00bcber die einfachen ICMP Echo\u2212Request\u2212Pakete hinaus, die mit dem allgegenw\u00c3\u00a4rtigen Werkzeug ping verbunden sind. Man kann den Ping\u2212Schritt v\u00c3\u00b6llig auslassen, indem man einen List\u2212Scan (\u2212sL<\/b>) benutzt, Ping ausschaltet (\u2212PN<\/b>) oder beliebige Kombinationen von Multi Port TCP\u2212SYN\/ACK, UDP\u2212 und ICMP\u2212Testanfragen auf ein Netzwerk losl\u00c3\u00a4sst. Der Zweck dieser Anfragen ist der, Antworten hervorzurufen, die zeigen, dass eine IP\u2212Adresse tats\u00c3\u00a4chlich aktiv ist (d.h. von einem Host oder Ger\u00c3\u00a4t im Netzwerk benutzt wird). In vielen Netzwerken ist nur ein kleiner Prozentsatz von IP\u2212Adressen zu einem bestimmten Zeitpunkt aktiv. Das gilt besonders f\u00c3\u00bcr einen privaten Adressraum wie 10.0.0.0\/8. Dieses Netzwerk enth\u00c3\u00a4lt 16,8 Millionen IPs, aber ich habe auch Firmen gesehen, die es mit weniger als tausend Rechnern benutzen. Mit der Host\u2212Erkennung kann man diese sp\u00c3\u00a4rlichen Rechnerinseln in einem Meer von IP\u2212Adressen finden.<\/font><\/p>\nFalls keine Optionen f\u00c3\u00bcr die Host\u2212Erkennung angegeben werden, sendet Nmap ein TCP\u2212ACK\u2212Paket an Port 80 und ein ICMP Echo\u2212Request an alle Zielrechner. Eine Ausnahme ist, dass bei allen Zielen in einem lokalen Ethernet\u2212Netzwerk ein ARP\u2212Scan benutzt wird. F\u00c3\u00bcr unprivilegierte Unix\u2212Shell\u2212Benutzer wird mit dem connect<\/b>\u2212Systemaufruf ein SYN\u2212Paket statt eines ACK gesendet. Diese Standardeinstellungen sind \u00c3\u00a4quivalent zu den Optionen \u2212PA \u2212PE<\/b>. Diese Host\u2212Erkennung ist oft ausreichend, wenn man lokale Netzwerke scannt, aber f\u00c3\u00bcr Sicherheits\u00c3\u00bcberpr\u00c3\u00bcfungen empfiehlt sich eine umfangreichere Menge von Erkennungstestpaketen.<\/font><\/p>\nDie Optionen \u2212P*<\/b> (die Ping\u2212Typen ausw\u00c3\u00a4hlen) lassen sich kombinieren. Sie k\u00c3\u00b6nnen Ihre Chancen steigern, bei strengen Firewalls durchzukommen, indem Sie viele Testpaketarten mit verschiedenen TCP\u2212Ports\/\u2212Flags und ICMP\u2212Codes senden. Beachten Sie auch, dass die ARP\u2212Erkennung (\u2212PR<\/b>) bei Zielen in einem lokalen Ethernet\u2212Netzwerk standardm\u00c3\u00a4\u00c3ig erfolgt, selbst dann, wenn Sie andere \u2212P*<\/b>\u2212Optionen angeben, weil sie fast immer schneller und effizienter ist.<\/font><\/p>\nStandardm\u00c3\u00a4\u00c3ig f\u00c3\u00bchrt Nmap eine Host\u2212Erkennung und dann einen Port\u2212Scan auf jedem Host aus, den es als online erkennt. Das gilt auch dann, wenn Sie nicht standardm\u00c3\u00a4\u00c3ige Host\u2212Erkennungstypen wie UDP\u2212Testpakete (\u2212PU<\/b>) angeben. Lesen Sie \u00c3\u00bcber die Option \u2212sP<\/b> nach, um zu lernen, wie man nur eine Host\u2212Erkennung durchf\u00c3\u00bchrt, oder \u00c3\u00bcber \u2212PN<\/b>, um die Host\u2212Erkennung zu \u00c3\u00bcberspringen und einen Port\u2212Scan aller Zielhosts durchzuf\u00c3\u00bchren. Folgende Optionen steuern die Host\u2212Erkennung:<\/font><\/p>\n\u2212sL<\/b> (List\u2212Scan)<\/font><\/p>\nEin List\u2212Scan ist eine degenerierte Form der Host\u2212Erkennung, die einfach jeden Host im angegebenen Netzwerk (bzw. den Netzwerken) auflistet, ohne Pakete an die Ziel\u2212Hosts zu senden. Standardm\u00c3\u00a4\u00c3ig f\u00c3\u00bchrt Nmap immer noch eine Reverse\u2212DNS\u2212Aufl\u00c3\u00b6sung der Hosts durch, um deren Namen zu lernen. Es ist oft erstaunlich, wie viel n\u00c3\u00bctzliche Informationen einfache Hostnamen verraten. Zum Beispiel ist fw.chi der Name einer Firewall einer Firma in Chicago.<\/font><\/p>\nNmap gibt am Ende auch die gesamte Anzahl der IP\u2212Adressen aus. Ein List\u2212Scan ist eine gute Plausibilit\u00c3\u00a4tspr\u00c3\u00bcfung, um sicherzustellen, dass Sie saubere IP\u2212Adressen f\u00c3\u00bcr Ihre Ziele haben. Falls die Hosts Domainnamen enthalten, die Ihnen nichts sagen, lohnt sich eine weitere Untersuchung, um zu verhindern, dass Sie das Netzwerk der falschen Firma scannen.<\/font><\/p>\nDa die Idee einfach die ist, eine Liste der Zielhosts auszugeben, lassen sich Optionen f\u00c3\u00bcr eine h\u00c3\u00b6here Funktionalit\u00c3\u00a4t wie z.B. Port\u2212Scanning, Betriebssystemerkennung oder Ping\u2212Scanning damit nicht kombinieren. Falls Sie einen Ping\u2212Scan abschalten und trotzdem solch h\u00c3\u00b6here Funktionalit\u00c3\u00a4t durchf\u00c3\u00bchren m\u00c3\u00b6chten, lesen Sie bei der Option \u2212PN<\/b> weiter.<\/font><\/p>\n\u2212sP<\/b> (Ping\u2212Scan)<\/font><\/p>\nDiese Option verlangt, dass Nmap nur einen Ping\u2212Scan (Host\u2212Erkennung) durchf\u00c3\u00bchrt und dann die verf\u00c3\u00bcgbaren Hosts ausgibt, die auf den Scan geantwortet haben. Dar\u00c3\u00bcber hinaus werden keine weiteren Tests (z.B. Port\u2212Scans oder Betriebssystemerkennung) durchgef\u00c3\u00bchrt, au\u00c3er bei Host\u2212Scripts mit der Nmap Scripting Engine und traceroute\u2212Tests, sofern Sie diese Optionen angegeben haben. Das ist eine Stufe aufdringlicher als ein List\u2212Scan und kann oft f\u00c3\u00bcr dieselben Zwecke benutzt werden. Sie f\u00c3\u00bchrt schnell eine schwache Aufkl\u00c3\u00a4rung des Zielnetzwerks durch, ohne viel Aufmerksamkeit zu erregen. F\u00c3\u00bcr Angreifer ist es wertvoller, zu wissen, wie viele Hosts verf\u00c3\u00bcgbar sind, als die Liste aller IPs und Hostnamen aus einem List\u2212Scan zu kennen.<\/font><\/p>\nF\u00c3\u00bcr Systemadministratoren ist diese Option oft ebenfalls wertvoll. Mit ihr kann man sehr leicht die verf\u00c3\u00bcgbaren Rechner in einem Netzwerk z\u00c3\u00a4hlen oder die Server\u2212Verf\u00c3\u00bcgbarkeit \u00c3\u00bcberwachen. So etwas nennt man oft auch einen Ping\u2212Sweep, und es ist zuverl\u00c3\u00a4ssiger als ein Pinging auf die Broadcast\u2212Adresse, weil viele Hosts auf Broadcast\u2212Anfragen nicht antworten.<\/font><\/p>\nDie Option \u2212sP<\/b> sendet standardm\u00c3\u00a4\u00c3ig einen ICMP Echo\u2212Request und ein TCP\u2212ACK\u2212Paket an Port 80. Bei Ausf\u00c3\u00bchrung ohne Sonderrechte wird nur ein SYN\u2212Paket (mit einem connect<\/b>\u2212Aufruf) an Port 80 an das Ziel gesendet. Wenn ein Benutzer mit Sonderrechten versucht, Ziele in einem lokalen Ethernet\u2212Netzwerk zu scannen, werden ARP\u2212Requests verwendet, es sei denn, die Option \u2212\u2212send\u2212ip<\/b> wird angegeben. Die Option \u2212sP<\/b> kann mit allen Erkennungsmethoden (die Optionen \u2212P*<\/b>, au\u00c3er \u2212PN<\/b>) kombiniert werden, um eine h\u00c3\u00b6here Flexibilit\u00c3\u00a4t zu erhalten. Falls zwischen dem Ausgangs\u2212Host, auf dem Nmap l\u00c3\u00a4uft, und dem Zielnetzwerk strenge Firewalls installiert sind, empfehlen sich diese fortgeschrittenen Methoden. Ansonsten k\u00c3\u00b6nnten Hosts \u00c3\u00bcbersehen werden, wenn die Firewall Testanfragen oder Antworten darauf verwirft<\/font><\/p>\n\u2212PN<\/b> (Ping abschalten)<\/font><\/p>\nEine weitere M\u00c3\u00b6glichkeit ist die, die Erkennungsphase von Nmap v\u00c3\u00b6llig auszulassen. Normalerweise bestimmt Nmap in dieser Phase aktive Rechner, die es anschlie\u00c3end st\u00c3\u00a4rker scannt. Standardm\u00c3\u00a4\u00c3ig f\u00c3\u00bchrt Nmap heftigere Tests wie Port\u2212Scans, Versions\u2212 oder Betriebssystemerkennung bei Hosts durch, die es bereits als aktiv eingestuft hat. Das Ausschalten der Host\u2212Erkennung mit der Option \u2212PN<\/b> bewirkt, dass Nmap versucht, die gew\u00c3\u00bcnschten Scan\u2212Funktionen auf allen<\/i> angegebenen Ziel\u2212IP\u2212Adresssen durchzuf\u00c3\u00bchren. Wenn also ein Zieladressraum der Gr\u00c3\u00b6\u00c3e Klasse B (\/16) auf der Kommandozeile angegeben wird, werden alle 65.536 IP\u2212Adressen gescannt. Eine richtige Host\u2212Erkennung wird wie bei einem List\u2212Scan \u00c3\u00bcbersprungen, aber statt anzuhalten und die Zielliste auszugeben, f\u00c3\u00a4hrt Nmap mit der Durchf\u00c3\u00bchrung der gew\u00c3\u00bcnschten Funktionen fort, so als ob jede Ziel\u2212IP aktiv w\u00c3\u00a4re. Bei Rechnern im lokalen Ethernet\u2212Netzwerk wird ein ARP\u2212Scan weiterhin ausgef\u00c3\u00bchrt (es sei denn, es wird \u2212\u2212send\u2212ip<\/b> angegeben), da Nmap MAC\u2212Adressen braucht, um Zielhosts weiter zu scannen. Diese Option lautete fr\u00c3\u00bcher einaml P0<\/b> (mit einer Null), wurde dann aber umbenannt, um Verwirrung mit der Option PO<\/b> von Protokoll\u2212Pings (benutzt den Buchstaben O) zu vermeiden.<\/font><\/p>\n\u2212PS<\/b> port list<\/i> (TCP\u2212SYN\u2212Ping)<\/font><\/p>\nDiese Option sendet ein leeres TCP\u2212Paket mit gesetztem SYN\u2212Flag. Der vorgegebene Zielport ist 80 (l\u00c3\u00a4sst sich zum Zeitpunkt des Kompilierens durch \u00c3ndern von DEFAULT_TCP_PROBE_PORT_SPEC<\/i> in nmap.h konfigurieren), aber man kann einen alternativen Port als Parameter angeben. Die Syntax ist dieselbe wie bei \u2212p<\/b>, mit dem Unterschied, dass Porttypenbezeichner wie T: nicht erlaubt sind. Beispiele hierf\u00c3\u00bcr sind \u2212PS22<\/b> und \u2212PS22\u221225,80,113,1050,35000<\/b>. Beachten Sie, dass es kein Leerzeichen zwischen \u2212PS<\/b> und der Port\u2212Liste geben darf. Falls mehrere Tests angegeben werden, werden sie parallel durchgef\u00c3\u00bchrt.<\/font><\/p>\nDas SYN\u2212Flag bedeutet f\u00c3\u00bcr das entfernte System, dass Sie versuchen, eine Verbindung herzustellen. Normalerweise wird der Zielport geschlossen sein, und es wird ein RST\u2212(Reset\u2212)Paket zur\u00c3\u00bcckgeschickt. Falls der Port offen ist, f\u00c3\u00bchrt das Ziel den zweiten Schritt eines TCP\u2212three\u2212way\u2212handshake<\/font><\/p>\ndurch, indem es mit einem SYN\/ACK\u2212TCP\u2212Paket antwortet. Der Rechner, auf dem Nmap l\u00c3\u00a4uft, bricht dann die entstehende Verbindung ab, indem er mit einem RST antwortet, statt ein ACK\u2212Paket zu senden, mit dem der three\u2212way handshake komplett und eine vollst\u00c3\u00a4ndige Verbindung hergestellt w\u00c3\u00a4re. Das RST\u2212Paket wird als Antwort auf das unerwartete SYN\/ACK vom Betriebssystem\u2212Kernel des Rechners gesendet, auf dem Nmap l\u00c3\u00a4uft, nicht von Nmap selbst.<\/font><\/p>\nF\u00c3\u00bcr Nmap ist es egal, ob der Port offen oder geschlossen ist. Aus beiden Antworten, ob RST oder SYN\/ACK, schlie\u00c3t Nmap, dass der Host verf\u00c3\u00bcgbar ist und antwortet.<\/font><\/p>\nAuf Unix\u2212Rechnern kann im Allgemeinen nur der mit Sonderrechten ausgestattete Benutzer root rohe TCP\u2212Pakete senden und empfangen. Bei normalen Benutzern kommt automatisch eine Umgehungsl\u00c3\u00b6sung zum Tragen, bei der f\u00c3\u00bcr alle Zielports der connect<\/b>\u2212Systemaufruf verwendet wird. Das bewirkt, dass an den Zielhost ein SYN\u2212Paket gesendet wird, mit der Absicht, eine Verbindung herzustellen. Falls connect<\/b> schnell ein erfolgreiches Ergebnis oder einen ECONNREFUSED\u2212Fehler zur\u00c3\u00bcckgibt, muss der darunterliegende TCP\u2212Stack ein SYN\/ACK oder RST empfangen haben, und der Host wird als verf\u00c3\u00bcgbar vermerkt. Falls der Verbindungsversuch h\u00c3\u00a4ngenbleibt, bis eine Zeitbeschr\u00c3\u00a4nkung erreicht ist, wird der Host als inaktiv vermerkt. Diese Behelfsl\u00c3\u00b6sung wird auch bei IPv6\u2212Verbindungen verwendet, da Nmap den Bau roher IPv6\u2212Pakete noch nicht unterst\u00c3\u00bctzt.<\/font><\/p>\n\u2212PA<\/b> port list<\/i> (TCP\u2212ACK\u2212Ping)<\/font><\/p>\nDer TCP\u2212ACK\u2212Ping ist ziemlich \u00c3\u00a4hnlich zum SYN\u2212Ping. Der Unterschied ist der, dass das TCP\u2212ACK\u2212Flag statt dem SYN\u2212Flag gesetzt wird, was Sie sich bestimmt schon gedacht haben. Ein solches ACK\u2212Paket erweckt den Eindruck, es wolle Daten auf einer bestehenden TCP\u2212Vebindung best\u00c3\u00a4tigen, w\u00c3\u00a4hrend eine solche Verbindung gar nicht existiert. Entfernte Hosts sollten darauf immer mit einem RST\u2212Paket antworten, wobei sie ihre Existenz verraten.<\/font><\/p>\nDie Option \u2212PA<\/b> benutzt denselben Standard\u2212Port wie der SYN\u2212Test (80) und nimmt ebenfalls eine Liste von Zielports im selben Format an. Falls ein unprivilegierter Benutzer das ausprobiert oder falls ein IPv6\u2212Ziel angegeben wird, wird die bereits erw\u00c3\u00a4hnte Behelfsl\u00c3\u00b6sung mit connect<\/b> eingesetzt. Diese ist nicht perfekt, da connect<\/b> tats\u00c3\u00a4chlich ein SYN\u2212Paket statt eines ACK sendet.<\/font><\/p>\nDer Grund f\u00c3\u00bcr die Existenz sowohl von SYN\u2212 als auch ACK\u2212Ping\u2212Tests liegt darin, die Chancen f\u00c3\u00bcr die Umgehung von Firewalls zu erh\u00c3\u00b6hen. Viele Administratoren konfigurieren Router und andere einfache Firewalls so, dass sie eingehende SYN\u2212Pakete blockieren, au\u00c3er bei solchen f\u00c3\u00bcr \u00c3\u00b6ffentliche Dienste wie bei der Website oder dem Mailserver der Firma. Das verhindert weitere eingehende Verbindungen zur Organisation, w\u00c3\u00a4hrend es den Benutzern freie Verbindungen ins Internet erlaubt. Dieser zustandslose Ansatz ben\u00c3\u00b6tigt wenige Ressourcen in der Firewall bzw. im Router und wird von Hardware\u2212 und Software\u2212Filtern weithin unterst\u00c3\u00bctzt. Die Firewall\u2212Software Netfilter\/iptables in Linux bietet die komfortable Option \u2212\u2212syn<\/b>, um diesen zustandslosen Ansatz zu implementieren. Wenn solche Firewall\u2212Regeln vorhanden sind, werden SYN\u2212Ping\u2212Tests (\u2212PS<\/b>), die an geschlossene Zielports gesendet werden, sehr wahrscheinlich blockiert. In solchen F\u00c3\u00a4llen greift der ACK\u2212Test, da er diese Regeln einfach kappt.<\/font><\/p>\nEine weitere h\u00c3\u00a4ufige Art von Firewalls verwendet zustandsbehaftete Regeln, die unerwartete Pakete verwerfen. Dieses Merkmal konnte man zuerst bei hochwertigen Firewalls finden, es hat sich aber mit der Zeit deutlich verbreitet. In Linux unterst\u00c3\u00bctzt das Netfilter\/iptables\u2212System das mit der Option \u2212\u2212state, die Pakete nach einem Verbindungszustand kategorisiert. In solchen F\u00c3\u00a4llen hat der SYN\u2212Test eine wesentlich bessere Chance auf Erfolg, da unerwartete ACK\u2212Pakete im Allgemeinen als fehlerhaft erkannt und verworfen werden. Eine L\u00c3\u00b6sung aus diesem Dilemma besteht darin, mit \u2212PS<\/b> und \u2212PA<\/b> SYN\u2212 und ACK\u2212Testpakete zu senden.<\/font><\/p>\n\u2212PU<\/b> port list<\/i> (UDP\u2212Ping)<\/font><\/p>\nEine weitere M\u00c3\u00b6glichkeit bei der Host\u2212Erkennung ist der UDP\u2212Ping, bei dem ein leeres (au\u00c3er bei Angabe von \u2212\u2212data\u2212length<\/b>) UDP\u2212Paket an die angegebenen Ports gesendet wird. Die Portliste hat dasselbe Format wie bei den weiter oben beschriebenen Optionen \u2212PS<\/b> und \u2212PA<\/b>. Falls keine Ports angegeben werden, ist die Standardeinstellung 31338. Dieser Wert kann zum Zeitpunkt des Kompilierens d\u00c3\u00bcrch \u00c3nderung von DEFAULT_UDP_PROBE_PORT_SPEC<\/i> in nmap.h konfiguriert werden. Es wird absichtlich ein sehr unwahrscheinlicher Port verwendet, weil bei dieser bestimmten Art des Scannens das Senden an offene Ports oft unerw\u00c3\u00bcnscht ist.<\/font><\/p>\nTrifft der UDP\u2212Test beim Zielrechner auf einen geschlossenen Port, so sollte dieser ein ICMP\u2212Paket zur\u00c3\u00bcckschicken, das besagt, dass der Port nicht erreichbar ist. Daraus schlie\u00c3t Nmap, dass der Rechner l\u00c3\u00a4uft und verf\u00c3\u00bcgbar ist. Viele weitere Arten von ICMP\u2212Fehlern, z.B. bei unerreichbaren Hosts\/Netzwerken oder \u00c3\u00bcberschrittener TTL (Time To Live), sind Zeichen f\u00c3\u00bcr einen abgeschalteten oder unerreichbaren Host. Auch eine ausbleibende Antwort wird so interpretiert. Falls ein offener Port erreicht wird, ignorieren die meisten Dienste das leere Paket einfach und geben keine Antwort zur\u00c3\u00bcck. Deswegen wird als Standardport 31338 benutzt, bei dem es sehr unwahrscheinlich ist, dass er benutzt wird. Einige Dienste, wie z.B. das Character Generator\u2212Protokoll (chargen), antworten auf ein leeres UDP\u2212Paket und enth\u00c3\u00bcllen damit Nmap gegen\u00c3\u00bcber, dass der Rechner zug\u00c3\u00a4nglich ist.<\/font><\/p>\nDer Hauptvorteil dieses Scan\u2212Typs liegt darin, dass er Firewalls und Filter umgeht, die nur TCP \u00c3\u00bcberpr\u00c3\u00bcfen. Ich hatte z.B. einmal ein BEFW11S4, einen Wireless\u2212Breitband\u2212Router von Linksys. Die externe Schnittstelle dieses Ger\u00c3\u00a4ts filterte standardm\u00c3\u00a4\u00c3ig alle TCP\u2212Ports, aber UDP\u2212Tests entlockten ihm weiterhin Meldungen \u00c3\u00bcber unerreichbare Ports und verrieten damit das Ger\u00c3\u00a4t.<\/font><\/p>\n\u2212PE<\/b>; \u2212PP<\/b>; \u2212PM<\/b> (ICMP\u2212Ping\u2212Arten)<\/font><\/p>\nZus\u00c3\u00a4tzlich zu den genannten ungew\u00c3\u00b6hnlichen TCP\u2212 und UDP\u2212Host\u2212Erkennungsarten kann Nmap auch Standardpakete senden, wie sie das allgegenw\u00c3\u00a4rtige Programm ping sendet. Nmap sendet ein ICMP Typ\u22128\u2212Paket (Echo\u2212Request) an die Ziel\u2212IP\u2212Adressen und erwartet eine Typ\u22120\u2212Antwort (Echo\u2212Reply) vom verf\u00c3\u00bcgbaren Host. Zum Leidwesen von Netzwerkerkundern blockieren viele Hosts und Firewalls heute diese Pakete, statt, wie in<\/font> RFC 1122<\/font><\/b> [1]<\/font><\/small> verlangt, darauf zu antworten. Aus diesem Grund sind ICMP\u2212Scans allein bei unbekannten Zielen \u00c3\u00bcber das Internet selten zuverl\u00c3\u00a4ssig genug. Aber f\u00c3\u00bcr Systemadministratoren, die ein internes Netzwerk \u00c3\u00bcberwachen, kann das ein praktischer und wirksamer Ansatz sein. Benutzen Sie die Option \u2212PE<\/b>, um dieses Verhalten mit Echo\u2212Requests einzuschalten.<\/font><\/p>\nAuch wenn ein Echo\u2212Request die Standard\u2212ICMP\u2212Ping\u2212Abfrage ist, h\u00c3\u00b6rt Nmap hier nicht auf. Der ICMP\u2212Standard (<\/font>RFC 792<\/font><\/b> [2]<\/font><\/small> ) spezifiziert auch Anfragepakete f\u00c3\u00bcr Zeitstempel, Information und Adressmaske mit den jeweiligen Codes 13, 15 und 17. W\u00c3\u00a4hrend diese Anfragen angeblich den Zweck haben, an Informationen wie Address Mask und Timestamp zu gelangen, k\u00c3\u00b6nnen sie auch leicht f\u00c3\u00bcr die Host\u2212Erkennung benutzt werden. Im Moment implementiert Nmap keine Information\u2212Request\u2212Pakete, da sie nicht weit verbreitet sind (RFC 1122 besteht darauf, dass \u00e2ein Host diese Nachrichten NICHT implementieren SOLLTE\u201c). Anfragen nach Timestamp und Address Mask k\u00c3\u00b6nnen jeweils mit den Optionen \u2212PP<\/b> und \u2212PM<\/b> gesendet werden. Eine Timestamp\u2212Antwort (ICMP\u2212Code 14) oder Address\u2212Mask\u2212Antwort (Code 18) enth\u00c3\u00bcllt, dass der Host greifbar ist. Diese beiden Abfragen k\u00c3\u00b6nnen wertvoll sein, wenn Administratoren ausdr\u00c3\u00bccklich Echo\u2212Request\u2212Pakete blockieren, aber vergessen, dass man f\u00c3\u00bcr den gleichen Zweck auch andere ICMP\u2212Abfragen benutzen kann.<\/font><\/p>\n\u2212PO<\/b> protocol list<\/i> (IP\u2212Protokoll\u2212Ping)<\/font><\/p>\nDie neueste M\u00c3\u00b6glichkeit der Host\u2212Erkennung ist ein IP\u2212Protokoll\u2212Ping, der IP\u2212Pakete sendet, in deren IP\u2212Header die angegebene Protokollnummer gesetzt ist. Die Protokoll\u2212Liste hat dasselbe Format wie Portlisten bei den weiter oben vorgestellten Optionen der TCP\u2212 und UDP\u2212Host\u2212Erkennung. Ohne Angabe von Protokollen werden standardm\u00c3\u00a4\u00c3ig mehrere IP\u2212Pakete f\u00c3\u00bcr ICMP (Protokoll 1), IGMP (Protokoll 2) und IP\u2212in\u2212IP (Protokoll 4) gesendet. Die Standardprotokolle k\u00c3\u00b6nnen zum Zeitpunkt des Kompilierens durch Ver\u00c3\u00a4nderung von DEFAULT_PROTO_PROBE_PORT_SPEC<\/i> in nmap.h konfiguriert werden. Beachten Sie, dass f\u00c3\u00bcr ICMP, IGMP, TCP (Protokoll 6) und UDP (Protokoll 17) die Pakete mit den richtigen Protokoll\u2212Headern gesendet werden, w\u00c3\u00a4hrend andere Protokolle ohne weitere Daten \u00c3\u00bcber den IP\u2212Header hinaus gesendet werden (es sei denn, die Option \u2212\u2212data\u2212length<\/b> wird angegeben).<\/font><\/p>\nDiese Methode der Host\u2212Erkennung sucht nach Antworten, die entweder dasselbe Protokoll wie der Test haben, oder Meldungen, dass das ICMP\u2212Protokoll nicht erreichbar ist, was bedeutet, dass das gegebene Protokoll vom Zielhost nicht unterst\u00c3\u00bctzt wird. Beide Antworten bedeuten, dass der Zielhost am Leben ist.<\/font><\/p>\n\u2212PR<\/b> (ARP\u2212Ping)<\/font><\/p>\nEines der h\u00c3\u00a4ufigsten Einsatzszenarien f\u00c3\u00bcr Nmap ist das Scannen eines Ethernet\u2212LANs. In den meisten LANs, besonders jenen, die durch<\/font> RFC 1918<\/font><\/b> [3]<\/font><\/small> erteilte private Adressbereiche verwenden, wird der Gro\u00c3teil der IP\u2212Adressen meistens nicht genutzt. Wenn Nmap versucht, ein rohes IP\u2212Paket wie z.B. ein ICMP Echo\u2212Request zu senden, muss das Betriebssystem die der Ziel\u2212IP entsprechende Hardware\u2212Zieladresse (ARP) bestimmen, damit es den Ethernet\u2212Frame korrekt adressieren kann. Das ist oft langsam und problematisch, da Betriebssysteme nicht in der Erwartung geschrieben wurden, dass sie in kurzer Zeit Millionen von ARP\u2212Anfragen bei nicht erreichbaren Hosts durchf\u00c3\u00bchren m\u00c3\u00bcssen.<\/font><\/p>\nBeim ARP\u2212Scan ist Nmap mit seinen optimierten Algorithmen zust\u00c3\u00a4ndig f\u00c3\u00bcr ARP\u2212Anfragen. Und wenn es eine Antwort erh\u00c3\u00a4lt, muss sich Nmap nicht einmal um die IP\u2212basierten Ping\u2212Pakete k\u00c3\u00bcmmern, da es bereits wei\u00c3, dass der Host aktiv ist. Das macht den ARP\u2212Scan viel schneller und zuverl\u00c3\u00a4ssiger als IP\u2212basierte Scans. Deswegen wird er standardm\u00c3\u00a4\u00c3ig ausgef\u00c3\u00bchrt, wenn Ethernet\u2212Hosts gescannt werden, bei denen Nmap bemerkt, dass sie sich in einem lokalen Ethernet\u2212Netzwerk befinden. Selbst wenn verschiedene Ping\u2212Arten (wie z.B. \u2212PE<\/b> oder \u2212PS<\/b>) angegeben werden, benutzt Nmap stattdessen ARP bei allen Zielen, die im selben LAN sind. Wenn Sie einen ARP\u2212Scan auf gar keinen Fall durchf\u00c3\u00bchren m\u00c3\u00b6chten, geben Sie \u2212\u2212send\u2212ip<\/b> an.<\/font><\/p>\n\u2212\u2212traceroute<\/b> (Traceroutes zum Host)<\/font><\/p>\nTraceroutes werden nach einem Scan mit Hilfe der Information aus den Scan\u2212Ergebnissen durchgef\u00c3\u00bchrt, um den wahrscheinlichsten Port und das wahrscheinlichste Protokoll zu bestimmen, die zum Ziel f\u00c3\u00bchren. Es funktioniert mit allen Scan\u2212Arten au\u00c3er Connect\u2212Scans (\u2212sT<\/b>) und Idle\u2212Scans (\u2212sI<\/b>). Alle Traces benutzen Nmaps dynamisches Timing\u2212Modell und werden parallel durchgef\u00c3\u00bchrt.<\/font><\/p>\nTraceroute funktioniert dadurch, dass es Pakete mit kurzer TTL (Time To Live) sendet und damit versucht, ICMP Time\u2212Exceeded\u2212Nachrichten von Sprungstellen zwischen dem Scanner und dem Zielhost hervorzurufen. Standardimplementationen von Traceroute fangen mit einer TTL von 1 an und inkrementieren die TTL, bis der Zielhost erreicht ist. Nmaps Traceroute f\u00c3\u00a4ngt mit einer hohen TTL an und verringert sie, bis sie Null erreicht. Durch dieses umgekehrte Vorgehen kann Nmap clevere Caching\u2212Algorithmen benutzen, um Traces \u00c3\u00bcber mehrere Hosts zu beschleunigen. Im Durchschnitt sendet Nmap je nach Netzwerkbedingungen 5\u00e210 Pakete weniger pro Host. Wenn ein einziges Unternetz gescannt wird (z.B. 192.168.0.0\/24), muss Nmap an die meisten Hosts eventuell nur ein einziges Paket senden.<\/font><\/p>\n\u2212n<\/b> (keine DNS\u2212Aufl\u00c3\u00b6sung)<\/font><\/p>\nWeist Nmap an, niemals<\/i> eine Reverse\u2212DNS\u2212Aufl\u00c3\u00b6sung bei den gefundenen aktiven IP\u2212Adressen durchzuf\u00c3\u00bchren. Da DNS selbst mit Nmaps eingebautem parallelen Stub\u2212Resolver langsam sein kann, kann diese Option die Scan\u2212Zeiten dramatisch reduzieren.<\/font><\/p>\n\u2212R<\/b> (DNS\u2212Aufl\u00c3\u00b6sung f\u00c3\u00bcr alle Ziele)<\/font><\/p>\nWeist Nmap an, immer<\/i> eine Reverse\u2212DNS\u2212Aufl\u00c3\u00b6sung bei den Ziel\u2212IP\u2212Adressen durchzuf\u00c3\u00bchren. Normalerweise wird Reverse\u2212DNS nur bei anwortenden Hosts (die online sind) durchgef\u00c3\u00bchrt.<\/font><\/p>\n\u2212\u2212system\u2212dns<\/b> (verwendet DNS\u2212Aufl\u00c3\u00b6sung des Systems)<\/font><\/p>\nStandardm\u00c3\u00a4\u00c3ig l\u00c3\u00b6st Nmap IP\u2212Adressen auf, indem es Anfragen direkt an die auf Ihrem Host konfigurierten Nameserver schickt und dann auf Antworten wartet. Um die Performance zu erh\u00c3\u00b6hen, werden viele Anfragen (oftmals Dutzende) parallel ausgef\u00c3\u00bchrt. Wenn Sie diese Option angeben, verwenden Sie stattdessen die Aufl\u00c3\u00b6sungsmethode Ihres Systems (zu jedem Zeitpunkt nur eine IP mit dem Aufruf getnameinfo<\/b> call). Das ist langsam und selten n\u00c3\u00bctzlich, es sei denn, Sie finden einen Fehler bei der parallelen Aufl\u00c3\u00b6sung in Nmap (bitte teilen Sie uns das mit). Bei IPv6\u2212Scans wird immer die Aufl\u00c3\u00b6sungsmethode des Systems verwendet.<\/font><\/p>\n\u2212\u2212dns\u2212servers<\/b> server1<\/i>[,<\/b>server2<\/i>[,…]] (Server, die f\u00c3\u00bcr Reverse\u2212DNS\u2212Anfragen benutzt werden)<\/font><\/p>\nStandardm\u00c3\u00a4\u00c3ig bestimmt Nmap Ihre DNS\u2212Server (f\u00c3\u00bcr die rDNS\u2212Aufl\u00c3\u00b6sung) aus Ihrer Datei resolv.conf (Unix) oder der Registry (Win32). Mit dieser Option k\u00c3\u00b6nnen Sie alternative Server dazu angeben. Diese Option bleibt unbeachtet, falls Sie \u2212\u2212system\u2212dns<\/b> oder einen IPv6\u2212Scan benutzen. Oft ist es schneller, mehrere DNS\u2212Server zu benutzen, besonders dann, wenn Sie f\u00c3\u00bcr Ihren Ziel\u2212IP\u2212Raum ma\u00c3gebende Server benutzen. Diese Option kann auch die Heimlichkeit erh\u00c3\u00b6hen, da Ihre Anfragen von fast jedem rekursiven DNS\u2212Server im Internet abprallen k\u00c3\u00b6nnen.<\/font><\/p>\nDiese Option ist auch beim Scannen privater Netzwerke praktisch. Manchmal bieten nur einige wenige Nameserver saubere rDNS\u2212Information, und Sie wissen vielleicht nicht einmal, wo sie sind. Sie k\u00c3\u00b6nnen das Netzwerk auf Port 53 scannen (vielleicht mit Versionserkennung), dann Nmap\u2212List\u2212Scans versuchen (\u2212sL<\/b>) und dabei mit der Option \u2212\u2212dns\u2212servers<\/b> immer nur einen Nameserver angeben, bis Sie einen finden, der funktioniert.<\/font><\/p>\n