Netzwerkanalyse und Fehlersuche

Weitere Magazine

Empfehlungen

Info

164 KAPITEL 11. NETZWERKANALYSE UND FEHLERSUCHE 11.3.2 Aufruf und Benutzung Nmap arbeitet in der klassischen Ausgabe auf der Kommandozeile. Es gibt aber auch ein GTK-Frontend - nmap-fe, welches die Benutzung unter einer grafischen Oberfläche erleichtert. Es blendet am unteren Bildrand die Befehlszeile ein, wie es nmap aufruft. So läßt sich die Wirkung der einzelnen Schalter im User-Interface sehen. Auch auf der Kommandozeile kennt nmap einen interaktiven Modus; aufzurufen durch nmap --interactive. Um festzustellen, wieviele Maschinen ein Netz enthält, kann man ein ganzes Subnetz pingen, was einfacher als der direkte Versuch mit ping ist. Hierzu ruft man nmap wie folgt auf: hermes:~ # nmap -sP 10.8.4.0/24 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-09-29 00:42 CEST Host 10.80.4.0 seems to be a subnet broadcast address (returned 1 extra pings). Host 10.80.4.1 appears to be up. MAC Address: 00:0F:66:C7:73:E8 (Cisco-Linksys) Host dell.wg.site (10.8.4.204) appears to be up. MAC Address: 00:08:74:4D:6F:3F (Dell Computer) Host 10.80.4.212 appears to be up. MAC Address: 00:02:B3:C2:55:91 (Intel) Host 10.80.4.220 appears to be up. MAC Address: 00:10:A4:8D:56:0A (Xircom) Host hermes.wg.site (10.8.4.254) appears to be up. Host 10.80.4.255 seems to be a subnet broadcast address (returned 1 extra pings). Nmap run completed -- 256 IP addresses (5 hosts up) scanned in 5.475 seconds Nmap scannt ganze Netze in der Form 192.168.2.0/24 für ein Klasse-C-Netz oder IP-Netze durch Angabe von Wildcards und Reichweiten: 192.168.1-11.* Man kann auch nur einzelne Rechner durch Angabe der Host-IP oder des Namens direkt ansprechen. Für die meisten Scans werden Root-Rechte benötigt: wie für ”-sS”, den SYN Port-Scan oder ”-sU”, den UDP-Scan. Nmap kann sein Timing für Scans durch die Angabe von ”-T Art” sehr unterschiedlich intensiv gestalten. Es existieren eine Reihe weiterer Optionen von nmap, die ein effektives Untersuchen von Zielsystemen erleichtern: • Dont Ping ”-P0” Dies ist eine Möglichkeit Nmap anzuweisen ein Zielsystem zu scannen ohne dieses vorher ”anzupingen”. Da viele Systeme im Internet nicht auf ICMP ”Echo Requests” antworten, ist es oft sinnvoll diesen Parameter zu benutzen. • Timing ”-T0-5” Der default Timingwert von Nmap steht auf -T3. Wenn man über einen schnellen Internetzugang verfügt, lässt sich zur Beschleunigung des Scans die Option ”-T4” verwenden. Mit der Option ”-T5” gehen meist zu viele Antworten des Zielsystems verloren, da Nmap nicht lange genug auf Antwortpakete wartet. Um bei hohen Sicherheitsstandards des Zielsystems zu verhindern, dass ein IDS den Scan bemerkt, kann das Timing mit ”-T0” oder ”-T1” herunter gesetzt werden. Dieses erhöht selbstredend die Dauer eines Scans. • Ports ”-p ports” Üblicherweise scannt nmap nicht alle 65535 Ports, da dieses wegen der abzuwartenden Timeouts viel zu lange dauern würde. Es beschränkt sich auf die privilegierten niedrigen Portnummern. Wenn ein bestimmter Dienst gesucht wird, ist es effektiver wenn der Scan nur bestimmte vordefinierte Ports eingeschränkt wird. Das regelt die Option ”-p 1-1023,1080,2237,5060,6667”.
11.3. NMAP - OFFENE MASCHINEN UND NETZE 165 • Versionserkennung ”-sV” Da Dienste nicht unbedingt auf ihrem Standard-Port lauschen müssen, verfügt nmap über eine umfangreiche Versions-Erkennung von unterschiedlichen Diensten. Dazu greift es auf die eigene ”service probes” Datenbank zurück, welche es erlaubt viele Dienste anhand ihres Verhaltens zu identifizieren. Wenn man mit nmap ein Netz regelmäßig überprüfen will, startet es am besten skriptgesteuert im Hintergrund. Man kann mit ”-iL Datei” die Ziele aus einer Datei lesen und mit ”-oN/-oX/-oG Log-Datei” die Ergebnisse im Normal-, XML- oder grep-optimierten Format in ein Logfile schreiben lassen. Die DNS-Auflösung lässt sich wie von anderen Netzwerkkommandos gewohnt mit der Option ”-n” abschalten. 11.3.3 OS-Fingerprinting Wenn man feststellen möchte, was für ein Betriebssystem sich hinter einer Maschine verbirgt, hilft die Option ”-O” für den OS-Fingerprint. TCP/IP ist zwar standardisiert, aber nicht jedes Betriebssystem antwortet gleich. Beim sogenannten Stack-Fingerprinting wird anhand von spezifischen Reaktionen auf bestimmte auch ”kaputte” Anfragen erkannt, welches Betriebssystem auf dem Zielsystem installiert ist. Es gibt zahlreiche Hinweise, die zur Erkennung der unterschiedlichen Betriebssysteme führen können: • TCP ISN Muster: Hierbei wird nach Mustern in der initialen Sequenznummer, welche von der TCP-Implementation ausgewählt wird, gesucht. • IP oder Fragment-ID: Die meisten Betriebssysteme erhöhen eine systemweite Fragment- ID im IP-Header für jedes abgeschickte Datenpaket. OpenBSD geht hier anders vor und wählt die Fragment-ID zufällig. Bei Windows wird das Header-Feld für jedes Paket um 256 erhöht. Vorhersagbare ID’s können zu Sicherheitsproblemen führen, da sie beispielsweise Scans über Dritte erlauben. • Dont Fragment Bit: Viele Betriebssysteme verwenden das ”Dont fragment” Feld im IP-Header in einigen Fällen zur Optimierung des Datentransfers. Jedoch wird dies auch nicht von allen Betriebssystemen unterstützt und von manchen nur in bestimmten Fällen eingesetzt. • FIN Sonde: Sendet ein TCP FIN Paket und wartet auf Antwort. Nach RFC 793 sollte keine Antwort zurück kommen, jedoch senden viele schlampige Implementationen des TCP-Protokolls, wie bei Microsoft Windows, ein RST-Paket zurück. • Bogus Sonde: Es wir ein TCP SYN Paket mit undefiniertem Flag auf Bit 7 oder 8 geschickt. Ältere Linux Kernel schicken in ihrem Antwort Paket das undefinierte Flag wieder mit. Andere Betriebssysteme brechen die Verbindung ab, wenn in einem TCP-Paket ein SYN zusammen mit einem undefinierten Flag eintrifft. • TCP Zeitstempel: Der TCP Zeitstempel ist ein optionaler Wert. Manche IP-Stacks unterstützen ihn nicht, andere erhöhen den Zeitstempel in bestimmten Frequenzen. Nmap kann mithilfe des Zeitstempels auch die ”uptime” einer Maschine bestimmen. • TCP Initiales Fenster: Nmap kann oft schon durch die alleinige Bestimmung der ”inital window size” ermitteln, welches Betriebssystem antwortet, da diese meistens sehr spezifisch ist. • ICMP Behandlung: Einige Betriebssysteme regulieren die Rate des Sendens von Fehlermeldungen. Bei ICMP Fehlermeldungen wird von manchen Betriebssystemen ein
Seite 1 und 2: Kapitel 11 Netzwerkanalyse und Fehl
Seite 3 und 4: 11.2. ERREICHBARKEIT VON DIENSTEN U
Seite 5 und 6: 11.3. NMAP - OFFENE MASCHINEN UND N
Seite 7: 11.3. NMAP - OFFENE MASCHINEN UND N
Seite 11 und 12: 11.5. SCHNÜFFELN IM DATENVERKEHR 1
Seite 13 und 14: 11.5. SCHNÜFFELN IM DATENVERKEHR 1
Seite 15 und 16: 11.6. SAMMELN IM HINTERGRUND - TRAF
Seite 17 und 18: 11.7. WEGEANALYSEN IN IP-NETZWERKEN
Seite 19 und 20: 11.8. STATISTIKEN 175 Von mtr gibts
Seite 21 und 22: 11.8. STATISTIKEN 177 und Zieladres
Seite 23 und 24: 11.8. STATISTIKEN 179 Für längerf
Seite 25 und 26: 11.9. AUFGABEN 181 minimum delay pe

Netzwerkanalyse und Fehlersuche

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?