Nmap-Scans mit Wireshark analysieren

TCP Connect Scan

Beschreibung

Standard-Scan, vollständiger Verbindungsaufbau mit TCP-Handshake (3-Way-Handshake).

Scannen eines offenen Ports (Port 445)

• nmap -sT -p 445 192.168.1.102

TCP-Verbindungsaufbau erfolgt vollständig.
Paketverhalten: SYN -> SYN/ACK -> ACK

Scannen eines geschlossenen Ports (Port 80)

• nmap -sT -p 80 192.168.1.102

Verbindung wird vom Ziel mit RST abgelehnt.
Paketverhalten: SYN -> RST

TCP SYN-Scan (Stealth Scan)

Beschreibung

Unvollständiger Verbindungsaufbau. Nach Erhalt von SYN/ACK oder RST wird keine Verbindung abgeschlossen.
Vorteil: Schnellere Erkennung, geringere Wahrscheinlichkeit einer Entdeckung durch Firewalls.

Scannen eines offenen Ports (Port 445)

• nmap -sS -p 445 192.168.1.102

Offener Port antwortet mit SYN/ACK. Verbindung wird durch Client sofort abgebrochen (RST).
Paketverhalten: SYN -> SYN/ACK -> RST

Scannen eines geschlossenen Ports (Port 80)

• nmap -sS -p 80 192.168.1.102

Geschlossener Port antwortet sofort mit RST.
Paketverhalten: SYN -> RST

TCP FIN-Scan

Beschreibung

Sendet TCP-Pakete mit gesetztem FIN-Flag. 
Laut RFC 793 antwortet ein offener Port nicht („Silent Drop“), ein geschlossener Port sendet RST.
Besonders nützlich bei Firewalls, die SYN-Pakete filtern, aber andere TCP-Flags zulassen.

Scannen eines offenen Ports (Port 445)

• nmap -sF -p 445 192.168.1.102

Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).
Paketverhalten: Keine Antwort

Scannen eines geschlossenen Ports (Port 80)

• nmap -sF -p 80 192.168.1.102

Geschlossener Port antwortet mit RST.
Paketverhalten: RST

TCP Xmas-Scan

Beschreibung

Sendet TCP-Pakete mit gesetzten FIN-, URG- und PSH-Flags ("leuchtet" wie ein Weihnachtsbaum).
Verhalten wie FIN-Scan: offene Ports bleiben stumm, geschlossene Ports antworten mit RST.

Scannen eines offenen Ports (Port 445)

• nmap -sX -p 445 192.168.1.102

Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).
Paketverhalten: Keine Antwort

Scannen eines geschlossenen Ports (Port 80)

• nmap -sX -p 80 192.168.1.102

Geschlossener Port antwortet mit RST.
Paketverhalten: RST

TCP Null-Scan

Beschreibung

Sendet TCP-Pakete ohne gesetzte Flags. 
Gleiches Verhalten wie FIN- und Xmas-Scans: offene Ports bleiben stumm, geschlossene Ports antworten mit RST.

Scannen eines offenen Ports (Port 445)

• nmap -sN -p 445 192.168.1.102

Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).
Paketverhalten: Keine Antwort

Scannen eines geschlossenen Ports (Port 80)

• nmap -sN -p 80 192.168.1.102

Geschlossener Port antwortet mit RST.
Paketverhalten: RST

Wireshark-Analyse der TCP-Scans

Filter für initiale SYN-Pakete (Verbindungsversuch)

• tcp.flags.syn == 1 and tcp.flags.ack == 0

Filter für SYN/ACK-Pakete (Bestätigung vom offenen Port)

• tcp.flags.syn == 1 and tcp.flags.ack == 1

Filter für RST-Pakete (Antwort auf Verbindungsversuch oder FIN/Xmas/Null-Scan)

• tcp.flags.reset == 1

Anmerkungen zum Verhalten nach RFC 793

Offene Ports

Antwortet NICHT auf FIN-, Xmas- oder Null-Scans (Silent Drop).

Geschlossene Ports

Antwortet mit einem TCP RST-Paket auf unbekannte TCP-Pakete.

Erkennungslogik

Silent Drop = Port möglicherweise offen.
RST = Port geschlossen.

Zusammenfassung Paketverhalten

TCP Connect Scan (offener Port)

SYN -> SYN/ACK -> ACK

TCP Connect Scan (geschlossener Port)

SYN -> RST

TCP SYN-Scan (offener Port)

SYN -> SYN/ACK -> RST

TCP SYN-Scan (geschlossener Port)

SYN -> RST

TCP FIN/Xmas/Null Scan (offener Port)

Keine Antwort (Silent Drop)

TCP FIN/Xmas/Null Scan (geschlossener Port)

RST