<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Timing_und_Evasion</id>
	<title>Nmap Timing und Evasion - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Nmap_Timing_und_Evasion"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Timing_und_Evasion&amp;action=history"/>
	<updated>2026-07-05T17:04:28Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Nmap_Timing_und_Evasion&amp;diff=71266&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „=Grundsätzliches= Bei Timing und Evasion geht es darum, einen Scan entweder zu beschleunigen oder ihn so zu gestalten, dass Firewall und IDS ihn schwerer erke…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Nmap_Timing_und_Evasion&amp;diff=71266&amp;oldid=prev"/>
		<updated>2026-06-21T10:16:13Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „=Grundsätzliches= Bei Timing und Evasion geht es darum, einen Scan entweder zu beschleunigen oder ihn so zu gestalten, dass Firewall und IDS ihn schwerer erke…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;=Grundsätzliches=&lt;br /&gt;
Bei Timing und Evasion geht es darum, einen Scan entweder zu beschleunigen oder ihn so zu gestalten, dass Firewall und IDS ihn schwerer erkennen. Jede Optimierung tauscht Geschwindigkeit gegen Vollständigkeit. Gescannt wird von der kali-innen (10.0.10.101) gegen das Opfernetz 10.88.215.0/24.&lt;br /&gt;
&lt;br /&gt;
=Timing-Templates=&lt;br /&gt;
Nmap bietet sechs vordefinierte Templates von langsam und leise bis schnell und laut&lt;br /&gt;
;-T0 paranoid&lt;br /&gt;
*Maximale Tarnung, sehr langsam&lt;br /&gt;
;-T1 sneaky&lt;br /&gt;
*Langsam, zur IDS-Umgehung&lt;br /&gt;
;-T2 polite&lt;br /&gt;
*Reduzierte Netzlast&lt;br /&gt;
;-T3 normal&lt;br /&gt;
*Standard&lt;br /&gt;
;-T4 aggressive&lt;br /&gt;
*Schnell, für vertrauenswürdige Netze&lt;br /&gt;
;-T5 insane&lt;br /&gt;
*Maximale Geschwindigkeit, Ergebnisverluste möglich&lt;br /&gt;
&lt;br /&gt;
;Beispiel&lt;br /&gt;
*nmap 10.88.215.61 -T4&lt;br /&gt;
&lt;br /&gt;
=Performance - minimale Paketrate=&lt;br /&gt;
Mit --min-rate wird eine Untergrenze an Paketen pro Sekunde erzwungen&lt;br /&gt;
*nmap 10.88.215.0/24 -F --min-rate 300&lt;br /&gt;
 Nmap done: 256 IP addresses (5 hosts up) scanned in 8.67 seconds&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Bei stabilen Netzbedingungen ist --min-rate eine der effektivsten Methoden, die Scandauer zu senken&lt;br /&gt;
*Die Ergebnisse bleiben gleich, solange das Netz die Rate verträgt&lt;br /&gt;
&lt;br /&gt;
=Performance - Wiederholungen begrenzen=&lt;br /&gt;
Mit --max-retries wird festgelegt, wie oft nmap ein Paket erneut sendet&lt;br /&gt;
*nmap 10.88.215.0/24 -F --max-retries 0&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Weniger Wiederholungen bedeuten einen schnelleren Scan&lt;br /&gt;
*Es können aber Ports verpasst werden, deren Antwort verloren geht&lt;br /&gt;
&lt;br /&gt;
=Performance - RTT-Timeout=&lt;br /&gt;
Mit den RTT-Optionen wird die Wartezeit auf Antworten gesteuert&lt;br /&gt;
*nmap 10.88.215.0/24 -F --initial-rtt-timeout 50ms --max-rtt-timeout 100ms&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Kürzere Timeouts beschleunigen den Scan&lt;br /&gt;
*Zu aggressive Werte führen zu verpassten Hosts&lt;br /&gt;
&lt;br /&gt;
=Firewall, IDS und IPS=&lt;br /&gt;
;Firewall&lt;br /&gt;
*Kontrolliert den Traffic zwischen Netzen - verwirft Pakete still oder lehnt sie aktiv ab&lt;br /&gt;
;IDS&lt;br /&gt;
*Passives Monitoring - erkennt Angriffsmuster und alarmiert&lt;br /&gt;
;IPS&lt;br /&gt;
*Aktives IDS - blockiert Verbindungen automatisch bei Erkennung&lt;br /&gt;
&lt;br /&gt;
=ACK-Scan zur Firewall-Analyse=&lt;br /&gt;
Der ACK-Scan zeigt, ob eine Firewall Pakete blockiert. ACK-Pakete sehen aus wie Teil einer bestehenden Verbindung und werden oft durchgelassen.&lt;br /&gt;
*nmap 10.88.215.61 -p 22,80,443 -sA -Pn -n&lt;br /&gt;
 PORT    STATE      SERVICE&lt;br /&gt;
 22/tcp  unfiltered ssh&lt;br /&gt;
 80/tcp  unfiltered http&lt;br /&gt;
 443/tcp unfiltered https&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Alle drei Ports antworten mit RST - die ACK-Pakete haben den Host erreicht&lt;br /&gt;
*unfiltered bedeutet: keine Firewall blockiert diese Pakete&lt;br /&gt;
*Kommt dagegen keine Antwort, blockiert eine Firewall den Pfad&lt;br /&gt;
&lt;br /&gt;
=IDS und IPS erkennen=&lt;br /&gt;
;Vorgehen&lt;br /&gt;
*IDS und IPS antworten nicht aktiv und sind daher schwer zu erkennen&lt;br /&gt;
*Der zuverlässigste Hinweis ist, wenn der Zugang zum Ziel nach bestimmten Scans plötzlich blockiert wird&lt;br /&gt;
*Bei einem Engagement von mehreren Quell-IPs scannen&lt;br /&gt;
*Wird eine IP blockiert, ist das ein starker Hinweis auf ein aktives IPS - dann Quelle wechseln und langsamer scannen&lt;br /&gt;
&lt;br /&gt;
=Decoy-Scan=&lt;br /&gt;
Fake-Quell-IPs werden in die Pakete eingefügt, um den echten Scanner zu verschleiern. Das Ziel sieht Verbindungsversuche von mehreren Hosts gleichzeitig.&lt;br /&gt;
*nmap 10.88.215.61 -p 80 -sS -Pn -n -D RND:5&lt;br /&gt;
 PORT   STATE SERVICE&lt;br /&gt;
 80/tcp open  http&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*-D RND:5 erzeugt fünf zufällige Decoy-IPs&lt;br /&gt;
*Die echte IP wird an zufälliger Position zwischen den Decoys eingefügt&lt;br /&gt;
*Die Decoy-IPs sollten erreichbare Hosts sein, sonst entstehen ungenaue Ergebnisse&lt;br /&gt;
&lt;br /&gt;
=Gespoofte Quell-IP=&lt;br /&gt;
Nützlich, wenn Firewallregeln auf Subnetzen statt einzelnen IPs basieren&lt;br /&gt;
*nmap 10.88.215.61 -p 445 -sS -Pn -n -S 10.88.215.200 -e eth0&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*-S setzt die gespoofte Quell-IP&lt;br /&gt;
*-e legt das Interface fest, über das gesendet wird&lt;br /&gt;
*Antworten gehen an die gespoofte IP - sinnvoll nur, wenn man diese mitlesen kann&lt;br /&gt;
&lt;br /&gt;
=Source-Port 53=&lt;br /&gt;
Firewalls lassen Traffic auf Port 53 oft ungeprüft durch, da DNS sonst nicht funktioniert&lt;br /&gt;
*nmap 10.88.215.1 -p 80 -sS -Pn -n --source-port 53&lt;br /&gt;
&lt;br /&gt;
;Erläuterung&lt;br /&gt;
*Antwortet ein vorher gefilterter Port plötzlich, vertraut die Firewall dem Quellport 53&lt;br /&gt;
*Das ist eine klassische Methode, um schwache Firewallregeln zu umgehen&lt;br /&gt;
*Mit netcat lässt sich der Port danach direkt ansprechen&lt;br /&gt;
*nc -nv --source-port 53 10.88.215.1 80&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Nmap]]&lt;br /&gt;
[[Kategorie:Pentest]]&lt;br /&gt;
[[Kategorie:Scanning]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>