https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Nmap_misc
Nmap misc - Versionsgeschichte
2026-05-16T03:14:37Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Nmap_misc&diff=62263&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= Nmap-Scans mit Wireshark analysieren = = TCP Connect Scan = ;Beschreibung: Standard-Scan, vollständiger Verbindungsaufbau mit TCP-Handshake (3-Way-Handsh…“
2025-04-26T07:40:59Z
<p>Die Seite wurde neu angelegt: „= Nmap-Scans mit Wireshark analysieren = = TCP Connect Scan = ;Beschreibung: Standard-Scan, vollständiger Verbindungsaufbau mit TCP-Handshake (3-Way-Handsh…“</p>
<p><b>Neue Seite</b></p><div>= Nmap-Scans mit Wireshark analysieren =<br />
<br />
= TCP Connect Scan =<br />
<br />
;Beschreibung:<br />
Standard-Scan, vollständiger Verbindungsaufbau mit TCP-Handshake (3-Way-Handshake).<br />
<br />
;Scannen eines offenen Ports (Port 445)<br />
*nmap -sT -p 445 192.168.1.102<br />
TCP-Verbindungsaufbau erfolgt vollständig.<br />
Paketverhalten: SYN -> SYN/ACK -> ACK<br />
<br />
;Scannen eines geschlossenen Ports (Port 80)<br />
*nmap -sT -p 80 192.168.1.102<br />
Verbindung wird vom Ziel mit RST abgelehnt.<br />
Paketverhalten: SYN -> RST<br />
<br />
= TCP SYN-Scan (Stealth Scan) =<br />
<br />
;Beschreibung:<br />
Unvollständiger Verbindungsaufbau. Nach Erhalt von SYN/ACK oder RST wird keine Verbindung abgeschlossen.<br />
Vorteil: Schnellere Erkennung, geringere Wahrscheinlichkeit einer Entdeckung durch Firewalls.<br />
<br />
;Scannen eines offenen Ports (Port 445)<br />
*nmap -sS -p 445 192.168.1.102<br />
Offener Port antwortet mit SYN/ACK. Verbindung wird durch Client sofort abgebrochen (RST).<br />
Paketverhalten: SYN -> SYN/ACK -> RST<br />
<br />
;Scannen eines geschlossenen Ports (Port 80)<br />
*nmap -sS -p 80 192.168.1.102<br />
Geschlossener Port antwortet sofort mit RST.<br />
Paketverhalten: SYN -> RST<br />
<br />
= TCP FIN-Scan =<br />
<br />
;Beschreibung:<br />
Sendet TCP-Pakete mit gesetztem FIN-Flag. <br />
Laut RFC 793 antwortet ein offener Port nicht („Silent Drop“), ein geschlossener Port sendet RST.<br />
Besonders nützlich bei Firewalls, die SYN-Pakete filtern, aber andere TCP-Flags zulassen.<br />
<br />
;Scannen eines offenen Ports (Port 445)<br />
*nmap -sF -p 445 192.168.1.102<br />
Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).<br />
Paketverhalten: Keine Antwort<br />
<br />
;Scannen eines geschlossenen Ports (Port 80)<br />
*nmap -sF -p 80 192.168.1.102<br />
Geschlossener Port antwortet mit RST.<br />
Paketverhalten: RST<br />
<br />
= TCP Xmas-Scan =<br />
<br />
;Beschreibung:<br />
Sendet TCP-Pakete mit gesetzten FIN-, URG- und PSH-Flags ("leuchtet" wie ein Weihnachtsbaum).<br />
Verhalten wie FIN-Scan: offene Ports bleiben stumm, geschlossene Ports antworten mit RST.<br />
<br />
;Scannen eines offenen Ports (Port 445)<br />
*nmap -sX -p 445 192.168.1.102<br />
Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).<br />
Paketverhalten: Keine Antwort<br />
<br />
;Scannen eines geschlossenen Ports (Port 80)<br />
*nmap -sX -p 80 192.168.1.102<br />
Geschlossener Port antwortet mit RST.<br />
Paketverhalten: RST<br />
<br />
= TCP Null-Scan =<br />
<br />
;Beschreibung:<br />
Sendet TCP-Pakete ohne gesetzte Flags. <br />
Gleiches Verhalten wie FIN- und Xmas-Scans: offene Ports bleiben stumm, geschlossene Ports antworten mit RST.<br />
<br />
;Scannen eines offenen Ports (Port 445)<br />
*nmap -sN -p 445 192.168.1.102<br />
Keine Antwort vom offenen Port (Silent Drop gemäß RFC 793).<br />
Paketverhalten: Keine Antwort<br />
<br />
;Scannen eines geschlossenen Ports (Port 80)<br />
*nmap -sN -p 80 192.168.1.102<br />
Geschlossener Port antwortet mit RST.<br />
Paketverhalten: RST<br />
<br />
= Wireshark-Analyse der TCP-Scans =<br />
<br />
;Filter für initiale SYN-Pakete (Verbindungsversuch)<br />
*tcp.flags.syn == 1 and tcp.flags.ack == 0<br />
<br />
;Filter für SYN/ACK-Pakete (Bestätigung vom offenen Port)<br />
*tcp.flags.syn == 1 and tcp.flags.ack == 1<br />
<br />
;Filter für RST-Pakete (Antwort auf Verbindungsversuch oder FIN/Xmas/Null-Scan)<br />
*tcp.flags.reset == 1<br />
<br />
= Anmerkungen zum Verhalten nach RFC 793 =<br />
<br />
;Offene Ports:<br />
Antwortet NICHT auf FIN-, Xmas- oder Null-Scans (Silent Drop).<br />
<br />
;Geschlossene Ports:<br />
Antwortet mit einem TCP RST-Paket auf unbekannte TCP-Pakete.<br />
<br />
;Erkennungslogik:<br />
Silent Drop = Port möglicherweise offen.<br />
RST = Port geschlossen.<br />
<br />
= Zusammenfassung Paketverhalten =<br />
<br />
;TCP Connect Scan (offener Port)<br />
SYN -> SYN/ACK -> ACK<br />
<br />
;TCP Connect Scan (geschlossener Port)<br />
SYN -> RST<br />
<br />
;TCP SYN-Scan (offener Port)<br />
SYN -> SYN/ACK -> RST<br />
<br />
;TCP SYN-Scan (geschlossener Port)<br />
SYN -> RST<br />
<br />
;TCP FIN/Xmas/Null Scan (offener Port)<br />
Keine Antwort (Silent Drop)<br />
<br />
;TCP FIN/Xmas/Null Scan (geschlossener Port)<br />
RST</div>
Thomas.will