TOP10-NMAP-Scans

Wenn man sich nicht bis in die Tiefe aller NMAP-Scan-Optionen einarbeiten kann oder will, dann sollte man doch einige Kommandos kennen. Unter den folgenden TOP10 befinden sich einige NMAP-Kommandos die in vielen Situationen helfen und man zumindest einmal ausprobiert haben sollten.

Hinweise nur Nutzung von NMAP
  • Führen Sie die NMAP-Kommandos immer als "root" aus.
  • Die Option "-oG -" sorgt für eine übersichtlichere Darstellung im Falle eines Network-Scans.
  • Wenn ein Scan länger dauert, dann gibt NMAP mit der Option "--stats-every 60s" alle 60 Sekunden eine statistische Rückmeldung.
  • Das Scan-Ziel (IP-Adresse oder Hostname) ist richtig zu wählen.

1. Klassischer Ping-Scan (Network-Scan)

nmap -PE -sn -oG - 192.168.0.1/24

Der klassische Ping-Scan mit ICMP—Echo-Requests (-PE), aber ohne Port-Scan (-sn).

2. Erweiterter Ping-Scan (Network-Scan)

nmap -sP -oG - 192.168.0.1/24

Dieser TCP-Ping-Scan ist eigentlich kein Ping-Scan, sondern eher eine sinnvolle Erweiterung zu einem klassischen Ping.
Der TCP-Ping-Scan kombiniert den klassischen Ping (ICMP-Echo) mit dem TCP-SYN-Scan. Damit funktioniert der TCP-Ping-Scan manchmal besser als ein klassischer Ping bzw. ein einfacher ICMP-Echo-Request.

3. SYN-TOP100-Port-Scan (Host-Fast-Scan)

nmap -sS -F 192.168.0.1

Dieser TCP-SYN-Port-Scan ist auf wenige Default-Ports begrenzt (-F) und damit schnell.
Dieser Port-Scan ist geeignet, um einen bestimmten Host, den man per Host-Discovery (z. B. per Ping-Scan) ermittelt hat, etwas näher auf den Grund zu gehen.

4. SYN/Version-All-Port-without-Ping-Scan (Host-Main-Scan)

nmap -sV -Pn -p0- --reason --stats-every 60s 192.168.0.1

Dieser TCP-SYN-Port-Scan wäre der nächste Schritt, wenn der vorherige Fast-Scan keine ausreichenden Informationen liefert, man aber trotzdem Schwachstellen vermutet.
Dieser TCP-SYN-Port-Scan prüft alle Ports (-p0-) und ermittelt bei den als offen erkannte Ports auf lauschende Anwendungen, Dienste und deren Version (-sV). Hat ein Port keinen definierten Zustand wird der Grund dafür angegeben (--reason).

5. Aggressive-All-Host-All-Port-Scan (Network-Main-Scan)

nmap -sV -Pn -p0- -T4 -A -oG - --reason --stats-every 60s 192.168.0.1/24

Dieser Port-Scan wäre ein typischer Anwendungsfall für einen Pentest im eigenen Netzwerk (nicht in fremden Netzen oder ohne Genehmigung). Dass dieser Scan eine hohe Netzwerk-Last erzeugt (alle Hosts, alle Ports), sollte man berücksichtigen.

Dieser Port-Scan prüft alle Hosts und alle Ports (-p0-) und ermittelt bei den als offen erkannte Ports auch lauschende Anwendungen, Dienste und deren Version (-sV). Aktiviert ist dabei der "aggressive mode" (-A), bei dem OS Detection, Version Detection, Script-Scanning und Traceroute eingeschaltet sind. Hat ein Port keinen definierten Zustand wird der Grund dafür angegeben (--reason).
Gleichzeitig wird darauf verzichtet, jeden Host auf Erreichbarkeit zu prüfen (-Pn). Das heißt, der Port-Scan wird bei jeder Adresse durchgeführt.
Insgesamt bedeutet das, dass dieser NMAP-Scan sehr lange dauert.

6. TCP-ACK-Scan (Host-Fast-Scan)

nmap -sA -F 192.168.0.1

Der TCP-ACK-Scan ist eine ziemlich coole Sau. Er erkennt einen Host als erreichbar, obwohl er mit einem herkömmlichen TCP-SYN-Scan als nicht erreichbar erkannt wurde.
Allerdings ist das Ergebnis mit Vorsicht zu genießen, denn das Anwenden des TCP-ACK-Scans macht nur dann Sinn, wenn man einen Paketfilter vermutet, den man umgehen will.

7. TCP-FIN-Scan (Host-Fast-Scan)

nmap -sF -F 192.168.0.1

Der TCP-FIN-Scan eignet sich zum Umgehen von Paketfiltern und zeigt an, ob offene Ports gefiltert werden.

8. UDP-Port-Scan (Host-Fast-Scan)

nmap -sU -F 192.168.0.1

Oft denkt man beim Port-Scan nicht daran, dass es neben TCP- auch UDP-Ports gibt. Das selbe trifft auf Netzwerk-Administratoren zu, die sich gegen Angriffe auf TCP-Ports, aber nicht auf UDP-Ports absichern. Hier hilft dieses Kommando, wenn man sich nur mal schnell und ohne Aufsehen eine groben Überblick der TOP100 der Default-Ports machen möchte.

9. UDP-All-Port-Scan (Host-Main-Scan)

nmap -sU -p0- --reason --stats-every 60s --max-rtt-timeout 100ms --max-retrie 1 192.168.0.1

Dieser UDP-Port-Scan kann schon auf nur einen Host sehr lange dauern. Deshalb sollte man es vermeiden, ihn auf ein ganzes Subnetz anzuwenden. Gegebenenfalls sind die Zeitparameter an das jeweilige lokale Netzwerk anzupassen.

10. List­-Scan (Network-Main-Scan)

nmap -sL 192.168.0.1/24

Wie immer das Beste zum Schluss: Dieses banale Kommando listet einfach alle IP-Adressen mit ihren Hostnamen auf. Dazu wird zu jeder IP-Adresse eine Namensauflösung durchgeführt. Hierbei muss man berücksichtigen, dass dieser Scan nicht sehr zuverlässig ist, weil sich nicht von allen IP-Adressen der Hostname ermitteln lässt.
Es gibt gute Gründe, genau mit diesem Scan zu beginnen. Denn der Hostnamen gibt häufig Auskunft über die Funktion eines Hosts. Man kann auf diese Weise schneller lohnenswerte Ziele identifizieren.
Gleichzeitig kann man Überprüfung, ob man überhaupt den richtigen IP-Bereich scannt. Und was viel wichtiger ist, dass eine Namens- oder Adressauflösung im Netzwerk unauffällig ist. Da die Namensauflösung dezentral erfolgt, bekommt der betreffende Host gar nicht mit, dass er "gescannt" wird.

Mehr Informationen über NMAP

Nur weil man diese TOP10-NMAP-Kommandos in die Kommandozeile tippen kann, ist man noch kein NMAP-Crack. Das Anwender der einzelnen Kommandos in der richtigen Situation ist essenziell, gefolgt von einer richten Interpretation des Ergebnisses. Über die genaue Funktionsweise von NMAP und die verschiedenen Scan-Arten sollte man sich zumindest bedarfsweise informieren.

Weitere verwandte Themen:

Teilen:

Produktempfehlungen

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!