<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Packet-Trace</id>
	<title>Nmap Packet-Trace - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Packet-Trace"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;action=history"/>
	<updated>2026-07-05T17:04:16Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;diff=71263&amp;oldid=prev</id>
		<title>Thomas.will am 21. Juni 2026 um 10:04 Uhr</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;diff=71263&amp;oldid=prev"/>
		<updated>2026-06-21T10:04:45Z</updated>

		<summary type="html">&lt;p&gt;&lt;/p&gt;
&lt;a href=&quot;//wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;amp;diff=71263&amp;amp;oldid=71262&quot;&gt;Änderungen zeigen&lt;/a&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;diff=71262&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „=Grundsätzliches= Mit --packet-trace zeigt nmap jedes gesendete und empfangene Paket an. Damit wird sichtbar, warum ein Port einen bestimmten Zustand hat und…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Packet-Trace&amp;diff=71262&amp;oldid=prev"/>
		<updated>2026-06-21T09:51:09Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „=Grundsätzliches= Mit --packet-trace zeigt nmap jedes gesendete und empfangene Paket an. Damit wird sichtbar, warum ein Port einen bestimmten Zustand hat und…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;=Grundsätzliches=&lt;br /&gt;
Mit --packet-trace zeigt nmap jedes gesendete und empfangene Paket an. Damit wird sichtbar, warum ein Port einen bestimmten Zustand hat und welche Technik nmap für die Host-Discovery wählt.&lt;br /&gt;
&lt;br /&gt;
=ARP statt ICMP im lokalen Netz=&lt;br /&gt;
Im lokalen Netz sendet nmap zuerst einen ARP-Request, die ARP-Antwort bestätigt den Host&lt;br /&gt;
*nmap 192.168.100.59 -sn -PE --packet-trace&lt;br /&gt;
 SENT (0.0359s) ARP who-has 192.168.100.59 tell 192.168.100.94&lt;br /&gt;
 RCVD (0.0365s) ARP reply 192.168.100.59 is-at 08:00:27:00:14:D9&lt;br /&gt;
 Host is up (0.00062s latency).&lt;br /&gt;
 Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds&lt;br /&gt;
&lt;br /&gt;
=Grund für den Host-Status anzeigen=&lt;br /&gt;
--reason zeigt, warum nmap den Host als aktiv einstuft&lt;br /&gt;
*nmap 192.168.100.59 -sn -PE --reason&lt;br /&gt;
 SENT (0.0074s) ARP who-has 192.168.100.59 tell 192.168.100.94&lt;br /&gt;
 RCVD (0.0309s) ARP reply 192.168.100.59 is-at 08:00:27:00:14:D9&lt;br /&gt;
 Host is up, received arp-response (0.028s latency).&lt;br /&gt;
&lt;br /&gt;
=ICMP erzwingen, ARP deaktivieren=&lt;br /&gt;
--disable-arp-ping zwingt nmap, ICMP statt ARP zu nutzen&lt;br /&gt;
*nmap 192.168.100.59 -sn -PE --packet-trace --disable-arp-ping&lt;br /&gt;
 SENT (0.0107s) ICMP [192.168.100.94 &amp;gt; 192.168.100.59 Echo request (type=8/code=0) id=13607 seq=0]&lt;br /&gt;
 RCVD (0.0152s) ICMP [192.168.100.59 &amp;gt; 192.168.100.94 Echo reply (type=0/code=0) id=13607 seq=0]&lt;br /&gt;
 Host is up (0.086s latency).&lt;br /&gt;
&lt;br /&gt;
=Geschlossener Port=&lt;br /&gt;
Ein geschlossener Port antwortet auf das SYN mit RST+ACK&lt;br /&gt;
*nmap 192.168.100.59 -p 21 --packet-trace -Pn -n --disable-arp-ping&lt;br /&gt;
 SENT (0.0980s) TCP 192.168.100.94:44093 &amp;gt; 192.168.100.59:21 S ttl=39 id=22759 iplen=44 seq=520204497 win=1024 &amp;lt;mss 1460&amp;gt;&lt;br /&gt;
 RCVD (0.0991s) TCP 192.168.100.59:21 &amp;gt; 192.168.100.94:44093 RA ttl=64 id=0 iplen=40 seq=0 win=0&lt;br /&gt;
 PORT   STATE  SERVICE&lt;br /&gt;
 21/tcp closed ftp&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*SENT zeigt das gesendete Paket mit gesetztem SYN-Flag (S)&lt;br /&gt;
*RCVD zeigt die Antwort mit RA-Flags (RST+ACK)&lt;br /&gt;
*Die RST-Antwort bedeutet: Port ist definitiv geschlossen&lt;br /&gt;
&lt;br /&gt;
=Offener Port mit Connect-Scan=&lt;br /&gt;
Der Connect-Scan führt den vollständigen Drei-Wege-Handshake durch&lt;br /&gt;
*nmap 192.168.100.59 -p 443 --packet-trace --disable-arp-ping -Pn -n --reason -sT&lt;br /&gt;
 CONN (0.0867s) TCP localhost &amp;gt; 192.168.100.59:443 =&amp;gt; Operation now in progress&lt;br /&gt;
 CONN (0.0873s) TCP localhost &amp;gt; 192.168.100.59:443 =&amp;gt; Connected&lt;br /&gt;
 PORT    STATE SERVICE REASON&lt;br /&gt;
 443/tcp open  https   syn-ack&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Die CONN-Zeilen zeigen den vollständigen Verbindungsaufbau&lt;br /&gt;
*Der Reason syn-ack bestätigt, dass Port 443 offen ist&lt;br /&gt;
*Der SYN-Scan (-sS) ist unauffälliger, da er den Handshake nie abschließt und nach dem SYN-ACK ein RST sendet&lt;br /&gt;
&lt;br /&gt;
=Gefilterter Port - keine Antwort=&lt;br /&gt;
Eine Firewall verwirft das Paket stillschweigend, nmap erhält keine Antwort&lt;br /&gt;
*nmap 192.168.100.59 -p 139 --packet-trace -n --disable-arp-ping -Pn&lt;br /&gt;
 SENT (0.0381s) TCP 192.168.100.94:33892 &amp;gt; 192.168.100.59:139 S ttl=41 iplen=44&lt;br /&gt;
 SENT (1.4411s) TCP 192.168.100.94:33892 &amp;gt; 192.168.100.59:139 S ttl=41 iplen=44&lt;br /&gt;
 PORT    STATE    SERVICE&lt;br /&gt;
 139/tcp filtered netbios-ssn&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Zwei SYN-Pakete wurden gesendet, keine Antwort kam zurück&lt;br /&gt;
*Der Scan dauerte rund 2 Sekunden - deutlich länger als bei einem geschlossenen Port&lt;br /&gt;
*Das lange Warten auf eine ausbleibende Antwort ist das Kennzeichen von filtered&lt;br /&gt;
&lt;br /&gt;
=Gefilterter Port - aktive Ablehnung=&lt;br /&gt;
Eine Firewall lehnt das Paket mit ICMP Unreachable aktiv ab&lt;br /&gt;
*nmap 192.168.100.59 -p 445 --packet-trace -n --disable-arp-ping -Pn&lt;br /&gt;
 SENT (0.0429s) TCP 192.168.100.94:57559 &amp;gt; 192.168.100.59:445 S ttl=54 iplen=44&lt;br /&gt;
 RCVD (0.0434s) ICMP [192.168.100.59 &amp;gt; 192.168.100.94 Port unreachable (type=3/code=3)]&lt;br /&gt;
 PORT    STATE    SERVICE&lt;br /&gt;
 445/tcp filtered microsoft-ds&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*ICMP type=3, code=3 bedeutet Port Unreachable - aktive Ablehnung durch die Firewall&lt;br /&gt;
*Der Scan ist mit rund 0,05 Sekunden deutlich schneller, da nmap sofort eine Antwort erhält&lt;br /&gt;
*Stiller Verwurf und aktive Ablehnung führen beide zu filtered, unterscheiden sich aber im Timing&lt;br /&gt;
&lt;br /&gt;
=UDP - offener Port=&lt;br /&gt;
Ein offener UDP-Port antwortet mit einer UDP-Antwort&lt;br /&gt;
*nmap 192.168.100.59 -sU -Pn -n --disable-arp-ping --packet-trace -p 137 --reason&lt;br /&gt;
 SENT (0.4090s) UDP 192.168.100.94:59643 &amp;gt; 192.168.100.59:137 ttl=53 iplen=78&lt;br /&gt;
 RCVD (0.4101s) UDP 192.168.100.59:137 &amp;gt; 192.168.100.94:59643 ttl=64 iplen=365&lt;br /&gt;
 PORT    STATE SERVICE    REASON&lt;br /&gt;
 137/udp open  netbios-ns udp-response ttl 64&lt;br /&gt;
&lt;br /&gt;
=UDP - geschlossener Port=&lt;br /&gt;
Ein geschlossener UDP-Port antwortet mit ICMP Unreachable&lt;br /&gt;
*nmap 192.168.100.59 -sU -Pn -n --disable-arp-ping --packet-trace -p 100 --reason&lt;br /&gt;
 SENT (0.4095s) UDP 192.168.100.94:60808 &amp;gt; 192.168.100.59:100 ttl=37 iplen=28&lt;br /&gt;
 RCVD (0.4099s) ICMP [192.168.100.59 &amp;gt; 192.168.100.94 Port unreachable (type=3/code=3)]&lt;br /&gt;
 PORT    STATE  SERVICE REASON&lt;br /&gt;
 100/udp closed unknown port-unreach ttl 64&lt;br /&gt;
&lt;br /&gt;
=UDP - keine Antwort=&lt;br /&gt;
Ohne Antwort kann nmap nicht zwischen offen und gefiltert unterscheiden&lt;br /&gt;
*nmap 192.168.100.59 -sU -Pn -n --disable-arp-ping --packet-trace -p 138 --reason&lt;br /&gt;
 SENT (0.4140s) UDP 192.168.100.94:48404 &amp;gt; 192.168.100.59:138 ttl=38 iplen=28&lt;br /&gt;
 SENT (1.4144s) UDP 192.168.100.94:48406 &amp;gt; 192.168.100.59:138 ttl=52 iplen=28&lt;br /&gt;
 PORT    STATE         SERVICE     REASON&lt;br /&gt;
 138/udp open|filtered netbios-dgm no-response&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Zwei Pakete wurden gesendet, keine Antwort kam zurück&lt;br /&gt;
*Da UDP keine Bestätigung kennt, bleibt der Zustand open|filtered&lt;br /&gt;
*Das macht UDP-Scans langsam und unzuverlässig&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Nmap]]&lt;br /&gt;
[[Kategorie:Pentest]]&lt;br /&gt;
[[Kategorie:Scanning]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>