Nmap Idle Scan
Zur Navigation springen
Zur Suche springen
Idle Scan
- Der Idle Scan nutzt die Vorhersagbarkeit der IP-ID-Feld-Inkremente eines Zombie-Hosts aus.
- Der Angreifer selbst kommuniziert nie direkt mit dem Zielsystem.
- Der Zombie sendet unbeabsichtigt die Reaktionen auf Anfragen, wodurch der Scan verdeckt bleibt.
- Zielhost sieht ausschließlich Verbindungen vom Zombie, nicht vom Angreifer.
- Ideal bei Firewalls oder wenn Anonymität wichtig ist.
- Funktioniert nur, wenn der Zombie eine globale, sequentielle IP-ID verwendet und wenig andere Aktivitäten hat.
- Funktionsweise
- Angreifer sendet ein leeres Paket an den Zombie und liest die aktuelle IP-ID.
- Angreifer sendet ein SYN-Paket an das Ziel, mit gefälschter Absenderadresse des Zombies.
- Ziel antwortet:
- Bei offenem Port: SYN/ACK wird an Zombie gesendet → Zombie antwortet mit RST → IP-ID wird erhöht.
- Bei geschlossenem Port: Ziel sendet RST → Zombie muss nicht antworten → IP-ID bleibt gleich.
- Angreifer liest erneut die IP-ID des Zombies und vergleicht:
- Erhöhte IP-ID → Port offen.
- Unveränderte IP-ID → Port geschlossen.
- Anforderungen
- Zombie muss IP-IDs sequentiell erhöhen.
- Zombie sollte wenig eigener Verkehr haben (sonst verfälschte Ergebnisse).
- Zielsystem muss auf SYN-Pakete erwartungsgemäß antworten (kein SYN-Proxy etc.).
+----------------+ +--------------+ +--------------+
| Angreifer | | Zombie-Host | | Zielsystem |
+----------------+ +--------------+ +--------------+
| | |
| 1. IP-ID lesen | |
+-------------------------> |
| | |
| | |
| | 2. Angreifer sendet spoofed SYN |
| +--------------------------> |
| | |
| | 3. Ziel antwortet SYN/ACK oder RST |
| | <--------------------------+
| | |
| 4. IP-ID erneut lesen | |
+-------------------------> |
| | |
| Analyse: | |
| - IP-ID unverändert: Port geschlossen (kein Paket empfangen) |
| - IP-ID erhöht: Port offen (Zombie antwortete auf SYN/ACK) |
| | |