Nmap Idle Scan

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Idle Scan

  • Der Idle Scan nutzt die Vorhersagbarkeit der IP-ID-Feld-Inkremente eines Zombie-Hosts aus.
  • Der Angreifer selbst kommuniziert nie direkt mit dem Zielsystem.
  • Der Zombie sendet unbeabsichtigt die Reaktionen auf Anfragen, wodurch der Scan verdeckt bleibt.
  • Zielhost sieht ausschließlich Verbindungen vom Zombie, nicht vom Angreifer.
  • Ideal bei Firewalls oder wenn Anonymität wichtig ist.
  • Funktioniert nur, wenn der Zombie eine globale, sequentielle IP-ID verwendet und wenig andere Aktivitäten hat.
Funktionsweise
  • Angreifer sendet ein leeres Paket an den Zombie und liest die aktuelle IP-ID.
  • Angreifer sendet ein SYN-Paket an das Ziel, mit gefälschter Absenderadresse des Zombies.
  • Ziel antwortet:
    • Bei offenem Port: SYN/ACK wird an Zombie gesendet → Zombie antwortet mit RST → IP-ID wird erhöht.
    • Bei geschlossenem Port: Ziel sendet RST → Zombie muss nicht antworten → IP-ID bleibt gleich.
  • Angreifer liest erneut die IP-ID des Zombies und vergleicht:
    • Erhöhte IP-ID → Port offen.
    • Unveränderte IP-ID → Port geschlossen.
Anforderungen
  • Zombie muss IP-IDs sequentiell erhöhen.
  • Zombie sollte wenig eigener Verkehr haben (sonst verfälschte Ergebnisse).
  • Zielsystem muss auf SYN-Pakete erwartungsgemäß antworten (kein SYN-Proxy etc.).
+----------------+          +--------------+         +--------------+
|    Angreifer   |          |   Zombie-Host |         |   Zielsystem  |
+----------------+          +--------------+         +--------------+
        |                         |                           |
        | 1. IP-ID lesen           |                           |
        +------------------------->                           |
        |                         |                           |
        |                         |                           |
        |                         | 2. Angreifer sendet spoofed SYN |
        |                         +--------------------------> |
        |                         |                           |
        |                         | 3. Ziel antwortet SYN/ACK oder RST |
        |                         | <--------------------------+
        |                         |                           |
        | 4. IP-ID erneut lesen    |                           |
        +------------------------->                           |
        |                         |                           |
        | Analyse:                |                           |
        | - IP-ID unverändert: Port geschlossen (kein Paket empfangen) |
        | - IP-ID erhöht: Port offen (Zombie antwortete auf SYN/ACK)   |
        |                         |                           |