<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Idle_Scan</id>
	<title>Nmap Idle Scan - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Idle_Scan"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Idle_Scan&amp;action=history"/>
	<updated>2026-07-05T17:04:17Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Nmap_Idle_Scan&amp;diff=71303&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „== Idle Scan == * Der Idle Scan nutzt die Vorhersagbarkeit der IP-ID-Feld-Inkremente eines Zombie-Hosts aus. * Der Angreifer selbst kommuniziert nie direkt mit…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Idle_Scan&amp;diff=71303&amp;oldid=prev"/>
		<updated>2026-06-22T12:06:54Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „== Idle Scan == * Der Idle Scan nutzt die Vorhersagbarkeit der IP-ID-Feld-Inkremente eines Zombie-Hosts aus. * Der Angreifer selbst kommuniziert nie direkt mit…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;== Idle Scan ==&lt;br /&gt;
* Der Idle Scan nutzt die Vorhersagbarkeit der IP-ID-Feld-Inkremente eines Zombie-Hosts aus.&lt;br /&gt;
* Der Angreifer selbst kommuniziert nie direkt mit dem Zielsystem.&lt;br /&gt;
* Der Zombie sendet unbeabsichtigt die Reaktionen auf Anfragen, wodurch der Scan verdeckt bleibt.&lt;br /&gt;
* Zielhost sieht ausschließlich Verbindungen vom Zombie, nicht vom Angreifer.&lt;br /&gt;
* Ideal bei Firewalls oder wenn Anonymität wichtig ist.&lt;br /&gt;
* Funktioniert nur, wenn der Zombie eine globale, sequentielle IP-ID verwendet und wenig andere Aktivitäten hat.&lt;br /&gt;
&lt;br /&gt;
;Funktionsweise:&lt;br /&gt;
* Angreifer sendet ein leeres Paket an den Zombie und liest die aktuelle IP-ID.&lt;br /&gt;
* Angreifer sendet ein SYN-Paket an das Ziel, mit gefälschter Absenderadresse des Zombies.&lt;br /&gt;
* Ziel antwortet:&lt;br /&gt;
** Bei offenem Port: SYN/ACK wird an Zombie gesendet → Zombie antwortet mit RST → IP-ID wird erhöht.&lt;br /&gt;
** Bei geschlossenem Port: Ziel sendet RST → Zombie muss nicht antworten → IP-ID bleibt gleich.&lt;br /&gt;
* Angreifer liest erneut die IP-ID des Zombies und vergleicht:&lt;br /&gt;
** Erhöhte IP-ID → Port offen.&lt;br /&gt;
** Unveränderte IP-ID → Port geschlossen.&lt;br /&gt;
&lt;br /&gt;
;Anforderungen:&lt;br /&gt;
* Zombie muss IP-IDs sequentiell erhöhen.&lt;br /&gt;
* Zombie sollte wenig eigener Verkehr haben (sonst verfälschte Ergebnisse).&lt;br /&gt;
* Zielsystem muss auf SYN-Pakete erwartungsgemäß antworten (kein SYN-Proxy etc.).&lt;br /&gt;
&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
+----------------+          +--------------+         +--------------+&lt;br /&gt;
|    Angreifer   |          |   Zombie-Host |         |   Zielsystem  |&lt;br /&gt;
+----------------+          +--------------+         +--------------+&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        | 1. IP-ID lesen           |                           |&lt;br /&gt;
        +-------------------------&amp;gt;                           |&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        |                         | 2. Angreifer sendet spoofed SYN |&lt;br /&gt;
        |                         +--------------------------&amp;gt; |&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        |                         | 3. Ziel antwortet SYN/ACK oder RST |&lt;br /&gt;
        |                         | &amp;lt;--------------------------+&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        | 4. IP-ID erneut lesen    |                           |&lt;br /&gt;
        +-------------------------&amp;gt;                           |&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
        | Analyse:                |                           |&lt;br /&gt;
        | - IP-ID unverändert: Port geschlossen (kein Paket empfangen) |&lt;br /&gt;
        | - IP-ID erhöht: Port offen (Zombie antwortete auf SYN/ACK)   |&lt;br /&gt;
        |                         |                           |&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>