Nmap-Befehle und mit der anmeldedatenlosen Erkennung erfasste Daten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Nmap wird beim Erfassen von Daten in Phasen ausgeführt und führt einen kontrollierten Satz sicherer Befehle mit zwei Mustern zum Untersuchen von Anwendungen und Geräten aus.

    Von Nmap bei der Hosterkennung zurückgegebene Daten

    Für einen Host, von dem Nmap feststellt, dass er in Betrieb ist, gibt Nmap die folgenden Daten zurück:
    • Betriebssystemfamilie: Wenn die Betriebssystemfamilie eine der sechs unterstützten Serverbetriebssystemfamilien ist, wird ein Host-CI verwendet, das der entsprechenden Serverklasse zugeordnet ist, um das Host-CI zu erstellen oder zu aktualisieren. Wenn die von Nmap zurückgegebene Betriebssystemfamilie nicht zu den unterstützten Serverbetriebssystemen gehört, wird ein Host-CI erstellt oder mithilfe der Hardwarebasisklasse [cmdb_ci_hardware] aktualisiert.
    • MAC-Adresse: Wenn sich der gescannte Host im selben Subnetz wie der MID Server-Host unter Windows befindet, der die Nmap-Befehle ausführt, gibt Nmap die MAC-Adresse des Remotehosts zurück.

    Von Nmap während der Hosterkennung ausgeführte Befehle

    Der MID Server übergibt die IP-Adresse eines Remotehosts an den Nmap-Befehl und eine Reihe von Ports, die der IP-Servicetabelle entnommen sind. Der Host muss von Nmap gemeldet werden, damit er in Betrieb ist. Der Host ist in Betrieb, wenn der von Nmap zurückgegebene Portstatus Offen oder open/filtered (Offen/Gefiltert) lautet. Wenn gemeldet wird, dass der Host in Betrieb ist, wird die zurückgegebene Betriebssystemfamilie untersucht, um die Klasse zu bestimmen, die zum Erstellen oder Aktualisieren des Host-CI verwendet wird.
    Befehl Beschreibung
    -PS Mit der Option TCP-SYN wird bestimmt, ob der Host online ist. Diese Option sendet ein leeres TCP-Rohpaket mit dem SYN-Flag an alle in der Scan-Liste angegebenen Ports. Nmap meldet, dass der Host online ist, wenn ein SYN/ACK-TCP-Paket zurückgegeben wird und wenn ein RST zurückgegeben wird, wodurch angegeben wird, dass der Port geschlossen ist. Der Nmap-Hostcomputer unterbricht die neu entstehende Verbindung mit einem RST anstelle eines ACK, da die SYN/ACK-Antwort aus dessen Sicht unerwartet ist. Wenn mehrere Port-Probes angegeben sind, werden sie parallel gesendet.
    Anforderungen:
    • Rohpaketberechtigungen
    • Muss unter UNIX als Root ausgeführt werden
    • Administratorrechte unter Windows
    -PA Erkennt Paketfilterungsgeräte. Diese Option ist eine TCP-ACK-Hosterkennung mit einer angegebenen Liste von Ports. Wenn keine Liste definiert ist, wird der Standardport 80 verwendet.

    Nmap sendet ein leeres TCP-Rohpaket mit gesetztem ACK-Flag. Diese Aktion bestätigt Daten über eine hergestellte TCP-Verbindung und veranlasst den Remotehost, mit einem RST-Paket zu antworten. Wenn der Remotehost mit einem RST-Paket antwortet, weiß Nmap, dass der Host online ist. Die ACK-Ping-Probe kann die Paketfilterung von TCP-SYN-Paketen durch zustandslose Paketfilterung, Netzwerkentitäten wie Firewalls, Router und Host-Routingtabellen/Firewall-Software überwinden. Stateful-Firewalls verwerfen unerwartete Pakete, wodurch das ACK-Paket verworfen wird, was die Wahrscheinlichkeit erhöht, dass die SYN-TCP-Probe durchkommt.

    Anforderungen:
    • Rohpaketberechtigungen
    • Muss unter UNIX als Root ausgeführt werden
    • Administratorrechte unter Windows
    Hinweis:
    Beide Pakettypen, Ping-SYN (-PS) und Ping ACK (-PA), können zusammen im selben Scan-Versuch konfiguriert werden.
    -O Aktiviert die BS-Erkennung für einen Remotehost und gibt den Namen des Anbieters, das zugrunde liegende BS, die BS-Generation und den Gerätetyp wie Router oder Switch an

    Nmap verwendet Fingerprinting anhand des TCP/IP-Stapels, um die auf dem Host ausgeführte Betriebssystemfamilie zu bestimmen. Nmap sendet eine Reihe von TCP- und UPD-Paketen an den Host und untersucht die Antworten. Nachdem die Antworten gründlich getestet wurden, vergleicht Nmap die Ergebnisse mit seiner Datenbank nmap-os-db und gibt die BS-Details aus, wenn eine Übereinstimmung vorliegt. Wenn Nmap das Betriebssystem nicht erraten kann und mindestens ein offener und ein geschlossener Port gefunden wurden, werden ein Fingerabdruck und eine URL generiert, die an nmap.org übermittelt werden können.

    Bei der BS-Erkennung werden keine Skripts der Nmap Scripting Engine (NSE) verwendet. Die BS-Erkennung wird nach der Erkennung der Anwendungs-/Serviceversion ausgeführt, wodurch die Genauigkeit der BS-Erkennung verbessert wird. Die Ergebnisse der beiden Scan-Typen können sich jedoch widersprechen. Die BS-Erkennung wird auf der TCP-Transportschicht ausgeführt, während die Versionserkennung für die Anwendung bzw. den Service auf einer höheren Ebene im TCP-Stapel ausgeführt wird.

    Anforderungen:
    • Rohpaketberechtigungen
    • Muss unter UNIX als Root ausgeführt werden
    • Administratorrechte unter Windows
    -p Liste der zu scannenden Ports
    -T4 Aggressive Timing-Vorlage von Nmap
    -v Zum Aktivieren ausführlicher Details. Dieser Befehl wird normalerweise verwendet, um Betrachtern der Standardausgabe den Fortschritt anzuzeigen. Dies kann jedoch dazu führen, dass die Skripts der Nmap Scripting Engine (NSE) zusätzliche Details enthalten.
    -Pn Zum Deaktivieren des Standard-Ping. Mit diesem Befehl wird die anfänglichen Scan-Phase der Nmap-Hosterkennung übersprungen, und alle Hosts werden so behandelt, als wären sie online. Verwenden Sie diesen Befehl, wenn Sie einen Port-Scan durchführen möchten, auch wenn die von den Discovery-Standard-Probes ausgeführten Ports keinen offenen Port finden.
    -r Scannt Ports nacheinander ohne Randomisierung
    --reason Gibt den Grund an, aus dem Nmap einen Port mit einem bestimmten Status klassifiziert hat
    --system-dns Anstelle der DNS-Namensserver wird für die umgekehrte DNS-Suche der DNS-Resolver des Betriebssystems verwendet. Diese Option ist langsamer als die Verwendung von DNS-Servern, da sie jeweils nur eine IP-Adresse auflösen kann, während mehrere rDNS-Anforderungen parallel ausgeführt werden. Der zurückgegebene Wert stimmt jedoch mit dem vom MID Server zurückgegebenen Wert überein, der zum Erstellen von Host-CIs verwendet wird.
    -X - Leitet stdout an eine XML-Datei um
    2> <Datenpfad> Leitet Fehlermeldungen, die Nmap an stderr geschrieben hat, zur angegebenen Datei um

    Von Nmap während der Anwendungserkennung zurückgegebene Daten

    Für einen Host, von dem Nmap feststellt, dass er in Betrieb ist, gibt Nmap die folgenden Daten zurück:
    • Portstatus:
      • Offen: Eine Anwendung akzeptiert an dem Port aktiv TCP- (oder UDP-)Pakete.
      • open|filtered (Offen|Gefiltert): Nmap kann nicht bestimmen, ob ein Port offen oder gefiltert ist. Ein offener Port gibt möglicherweise keine Antwort zurück, wenn UDP-, IP-Protokoll-, FIN-, NULL- und Xmas-Scans von Nmap verwendet werden.
    • Servicename: Name des Service, der an dem Service-Port aktiv TCP- (oder UDP-)Pakete akzeptiert
    • Serviceprodukt: Name der Anwendung, die an dem von Nmap identifizierten offenen Port ausgeführt wird
    • Zusätzliche Serviceinformationen: Alle zusätzlichen, von Nmap zurückgegebenen Informationen, die Discovery zum Identifizieren der Anwendung verwenden kann

    Von Nmap während der Anwendungserkennung ausgeführte Befehle

    Der MID Server übergibt dem Nmap-Befehl eine IP-Adresse für einen Remotehost und einen zu scannenden Port. Nmap versucht, die Anwendung zu identifizieren, die den Port aktiv abhört, und bestimmt dann, ob ein neues CI erstellt oder ein vorhandenes aktualisiert werden soll. Der Host muss von Nmap gemeldet werden, damit er in Betrieb ist.

    Zur Kursbestimmung verwendet Nmap die folgenden Informationen:
    • Serviceprodukt
    • Servicename
    • Zusätzliche Serviceinformationen
    • Status des gescannten Ports
      Hinweis:
      Die Werte für das Serviceprodukt und den Servicenamen dürfen nicht NULL sein, und der Servicename darf nicht mit einem Fragezeichen enden. Nmap fügt Servicenamen ein Fragezeichen hinzu, wenn die Anwendung, die den gescannten Port abhört, erraten werden muss. Die Instanz erstellt oder aktualisiert kein Anwendungs-CI, wenn Nmap den Anwendungsnamen nicht aus der statischen Registrierungsdatei nmap-services abrufen kann.
    Befehl Beschreibung
    -sS TCP-SYN-Port-Scan (Stealth). Dies ist die standardmäßige Scan-Option, die niemals TCP-Verbindungen herstellt. Scans können zwischen offenen, geschlossenen und gefilterten Ports unterscheiden.

    Der TCP-SYN-Scan implementiert einen halboffenen Reset, der die Anforderung abbricht, bevor die Verbindung hergestellt werden kann. Der Port ist offen (die Anwendung horcht), wenn ein SYN/ACK zurückgegeben wird. Der Port ist geschlossen, wenn ein RST zurückgegeben wird. Wenn nach mehreren erneuten Übertragungen keine Antwort eingeht, wird der Port als gefiltert markiert. Der Port wird auch als gefiltert markiert, wenn ein ICMP-Fehler „nicht erreichbar“ (Typ 3, Code 1,2,3,9,10,13) empfangen wird.

    Anforderungen:
    • Rohpaketberechtigungen
    • Ausführung als Root
    • Windows-Administratorrechte
    -sV Probes öffnen Ports, um Serviceprotokoll, Anwendungsname, Versionsnummer, Hostname, Gerätetyp, BS-Familie und verschiedene Details wie die SSH-Protokollversion zu bestimmen.
    Wenn Nmap eine Antwort erhält, die nicht mit der Datenbank übereinstimmt, werden ein Fingerabdruck und eine URL zur Übermittlung an nmap.org ausgegeben. Nmap sucht in seiner statischer Registrierungsdatei nmap-services nach der Portnummer, um den Namen eines Anwendungsservice zu bestimmen, der den Port möglicherweise aktiv abhört. Der von Nmap zurückgegebene Servicename wird mit einem Fragezeichen versehen, das anzeigt, dass Nmap seine Identität erraten musste. Die Instanz erstellt oder aktualisiert kein Anwendungs-CI, wenn Nmap die Anwendung an einem offenen Port errät.
    Hinweis:
    Dieser Befehl erfordert keine Rohpaketberechtigungen.
    --datadir Pfad zu dem Verzeichnis, das den sicheren Satz von Nmap-Skripts enthält, die während der Anwendungs-/Versionserkennung ausgeführt werden sollen
    -p Einzelner zu scannender Port
    -T4 Aggressive Timing-Vorlage von Nmap
    -v Zum Aktivieren ausführlicher Details. Dieser Befehl wird normalerweise verwendet, um Betrachtern der Standardausgabe den Fortschritt anzuzeigen. Dies kann jedoch dazu führen, dass die Skripts der Nmap Scripting Engine (NSE) zusätzliche Details enthalten.
    -Pn Zum Deaktivieren des Standard-Ping. Mit diesem Befehl wird die anfänglichen Scan-Phase der Nmap-Hosterkennung übersprungen, und alle Hosts werden so behandelt, als wären sie online. Verwenden Sie diesen Befehl, wenn Sie einen Port-Scan durchführen möchten, auch wenn die von den Discovery-Standard-Probes ausgeführten Ports keinen offenen Port finden.
    -r Scannt Ports nacheinander ohne Randomisierung
    --reason Gibt den Grund an, aus dem Nmap einen Port mit einem bestimmten Status klassifiziert hat
    --system-dns Anstelle der DNS-Namensserver wird für die umgekehrte DNS-Suche der DNS-Resolver des Betriebssystems verwendet. Diese Option ist langsamer als die Verwendung von DNS-Servern, da sie jeweils nur eine IP-Adresse auflösen kann, während mehrere rDNS-Anforderungen parallel ausgeführt werden. Der zurückgegebene Wert stimmt jedoch mit dem vom MID Server zurückgegebenen Wert überein, der zum Erstellen von Host-CIs verwendet wird.
    -X - Leitet stdout an eine XML-Datei um
    2> <Datenpfad> Leitet Fehlermeldungen, die Nmap an stderr geschrieben hat, zur angegebenen Datei um