Ping-Scanning mit NMAP

Beim Ping-Scanning mit NMAP ermittelt man die Erreichbarkeit eines oder mehrerer Ziele im Netzwerk. Es geht darum zu erkennen, ob ein Host online ist oder nicht.
Man könnte das auch mit dem Ping-Kommando tun. Doch NMAP hat ein paar spezielle Ping-Scan-Methoden, die typische ICMP- oder Ping-Filter umgehen können. Die also auch dann funktionieren, wenn eine Firewall einen einfachen Ping verhindert.

Ping-Scan-Methoden von NMAP

  • ICMP-Echo-Ping (klassischer Ping)
  • TCP-SYN-Ping
  • TCP-ACK-Ping
  • UDP-Ping
  • ICMP-Timestamp-Scan
  • ICMP-Address-Scan

Hinweis: Reverse-DNS-Resolution abschalten (-n)

Zusätzlich zum Ping-Scan wird NMAP eine Reverse-DNS-Resolution durchführen. Das heißt, NMAP wird versuchen die IP-Adresse aufzulösen, um den Domain- oder Computernamen des Ziels herauszufinden. Wenn man die Adressauflösung nicht möchte, dann kann man sie mit der Option "-n" abschalten.
Verzichtet man auf die Adressauflösung beschleunigt man dadurch den gesamten Scan-Prozess.

ICMP-Echo-Ping / Der klassische Ping (-PE)

Einen Ping auf einen einzelnen Host:

nmap -PE 192.168.1.1
ping -c 1 192.168.1.1

Mit diesem Kommando funktioniert NMAP wie der klassischer Ping. NMAP sendet einen ICMP-Echo-Request an das Zielsystem. Erwartet wird ein ICMP-Echo-Reply als Antwort. Bei Zielsystemen hinter einer Firewall wird die Antwort ausbleiben. Das Zielsystem würde als nicht erreichbar erkannt werden.

Hinweis: Wenn man das ICMP-Echo von NMAP auf ein Ziel im eigenen Subnetz anwendet, erfolgt ein TCP-SYN-Ping auf alle TCP-Ports.

Ein Ping auf alle Hosts in einem Subnetz:

nmap -PE 192.168.1.*
nmap -PE 192.168.1.0/24

Hinweis: Einen Ping-Scan auf ein ganzes Subnetz durchzuführen kann verdächtig sein. In einem lokalen Netzwerk mag es noch Sinn machen. Doch nicht im Internet. Wenden Sie den Ping-Scan nicht auf öffentliche Subnetze an.

TCP-Ping-Scan / Erweiterter Ping (-sP)

nmap -sP 192.168.1.1

Der TCP-Ping-Scan ist eigentlich kein Ping-Scan, sondern eher eine sinnvolle Erweiterung zu einem klassischen Ping.

Wie genau NMAP die Erreichbarkeit des Hosts prüft, hängt davon ab, wo sich der Host befindet. Befindet sich der Host im eigenen Subnetz, dann arbeitet der TCP-Ping-Scan nicht mit ICMP-Nachrichten, sondern mit ARP-Requests. Wenn sich der Host in einem anderen Netz befindet, dann arbeitet NMAP mit ICMP-Echo-Requests und sendet zusätzlich noch ein TCP-SYN-Paket auf Port 443 und ein TCP-ACK-Paket auf Port 80 an das Zielsystem. Wenn das Zielsystem ICMP-Echo-Pakete blockiert, wird es vielleicht mit SYN/ACK (von Port 443) bzw. RST (von Port 80) auf die TCP-Pakete antworten. Damit sollte sich das Zielsystem ziemlich sicher als erreichbar bestimmen lassen.

Hinweis: Der TCP-Ping-Scan kombiniert den klassischen Ping (ICMP-Echo) mit dem TCP-SYN- und TCP-ACK-Scan. Auf diese Weise ermittelt NMAP ziemlich sicher die Erreichbarkeit des Zielsystems. Damit funktioniert der TCP-Ping-Scan besser als ein klassischer Ping bzw. ein ICMP-Echo-Request.

TCP-SYN-Ping (-PS)

nmap -PS 192.168.1.1

Der TCP-SYN-Ping schickt an viele TCP-Ports ein TCP-SYN-Paket. Wenn auf einem der Ports keine Anwendung lauscht, dann wird die Gegenstelle mit einem TCP-RST-Paket antworten. Wenn der Port offen ist, also zu einer Anwendung eine Verbindung aufgebaut werden kann, dann wird die Gegenstelle mit einem TCP-ACK-SYN-Paket antworten.

Wenn man den TCP-SYN-Ping unauffälliger machen will, dann begrenzt man die Anzahl der abzufragenden TCP-Ports auf einen. Zum Beispiel mit der Option "-p80". Dann wird nur ein TCP-SYN-Paket an Port 80 geschickt.
Welchen Port man wählt hängt davon ab, welchen Dienst man erwartet. Wenn man auf einem System einen SSH-Server erwartet, dann macht es Sinn, die Option "-p22" zu wählen.

Wenn der TCP-SYN-Ping nicht erfolgreich war, weil der Port gefiltert ist, wird NMAP das feststellen und anzeigen. Dann lohnt es sich die Option "-PN" an das Kommando dranzuhängen.

Hinweis: Wenn man den TCP-SYN-Ping auf ein Ziel im eigenen Subnetz anwendet, dann erfolgt nur ein ARP-Request.

TCP-ACK-Ping (-PA)

nmap -PA 192.168.1.1

Der TCP-ACK-Ping schickt an viele TCP-Ports ein TCP-ACK-Paket. Ein ACK-Paket soll den Eindruck erwecken, dass damit Pakete für eine bestehende TCP-Verbindung bestätigt werden sollen, die aber gar nicht existiert. Entfernte Hosts sollten darauf mit einem RST-Paket antworten, wobei sie ihre Existenz verraten.

Der Grund für den TCP-ACK-Ping liegt in der Möglichkeit damit zustandslose Paketfilter zu umgehen. Allerdings wird eine zustandsbehaftete Firewall merken, wenn unerwartete Pakete eintreffen und auch TCP-ACK-Pakete blockieren. In so einem Fall wird NMAP fälschlicherweise annehmen, dass der Host inaktiv ist. In solchen Fällen wird der TCP-SYN-Ping eher funktionieren.

Hinweis: Wenn man den TCP-ACK-Ping auf ein Ziel im eigenen Subnetz anwendet, dann erfolgt nur ein ARP-Request.

UDP-Ping (-PU)

nmap -PU 192.168.1.1

Der UDP-Ping sendet ein UDP-Paket mit einer sehr hohen Port-Nummer an das Zielsystem. Das dabei ein offener Port erwischt wird ist eher unwahrscheinlich, was beim UDP-Ping so gewünscht ist. Erwartet wird, dass das Zielsystem mit einem ICMP-Paket antwortet, dass der Port geschlossen ist.

Der UDP-Ping funktioniert dann, wenn Firewalls und Filter nur TCP prüfen und UDP bei deren Konfiguration vergessen wurde.

Hinweis: Wenn man den UDP-Ping auf ein Ziel im eigenen Subnetz anwendet, erfolgt ein TCP-SYN-Ping auf alle Ports.

ICMP-Timestamp-Scan (-PT)

nmap -PT 192.168.1.1

Der ICMP-Timestamp-Scan ist eine Alternative zum ICMP-Echo-Scan.

ICMP-Address-Scan (-PM)

nmap -PM 192.168.1.1

Der ICMP-Address-Scan ist dann interessant, wenn das Angriffsziel ein Router ist.

Scanning mit NMAP

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!