Technologie

Wie führe ich einen TCP SYN-Scan mit Nmap korrekt durch?

Melden
  1. Einführung in den TCP SYN-Scan
  2. Voraussetzungen für den Scan
  3. Durchführung des TCP SYN-Scans
  4. Optionale Erweiterungen und Einstellungen
  5. Was passiert hinter den Kulissen?
  6. Zusammenfassung

Einführung in den TCP SYN-Scan

Der TCP SYN-Scan, auch bekannt als halboffener Scan oder Stealth-Scan, ist eine der gängigsten Methoden, um offene Ports auf einem Zielsystem zu entdecken.

Er funktioniert, indem er nur das erste Paket eines TCP-Handshakes sendet – das SYN-Paket – und dann auf die Antwort wartet.

Wenn das Ziel mit einem SYN/ACK antwortet, ist der Port offen, bei einer RST-Antwort ist er geschlossen.

Im Gegensatz zu einem vollständigen TCP-Connect-Scan wird die Verbindung nicht vollständig hergestellt, was den Scan unauffälliger macht und unter Umständen weniger protokolliert wird.

Voraussetzungen für den Scan

Um einen TCP SYN-Scan mit nmap durchzuführen, benötigen Sie administrative oder root-Rechte, da das Senden von Rohpaketen in der Regel privilegierte Rechte voraussetzt.

Stellen Sie außerdem sicher, dass die Zielsysteme das Scanning erlauben, um rechtliche Probleme zu vermeiden.

Durchführung des TCP SYN-Scans

Der TCP SYN-Scan kann mit dem folgenden Befehl ausgeführt werden:

sudo nmap -sS

Hierbei steht -sS für den TCP SYN-Scan. Das sudo ist notwendig, um den Befehl mit den benötigten Rechten auszuführen.

<ziel-IP-oder-hostname> ersetzen Sie durch die IP-Adresse oder den Hostnamen des zu scannenden Systems.

Beispiel:

sudo nmap -sS 192.168.1.100

Dieser Befehl scannt die häufigsten 1000 TCP-Ports des Hosts 192.168.1.100 und verwendet dabei den SYN-Scan, um offene Ports zu erkennen.

Optionale Erweiterungen und Einstellungen

Sie können den Scan anpassen, indem Sie weitere Parameter hinzufügen. Zum Beispiel ermöglicht -p die Angabe bestimmter Ports:

sudo nmap -sS -p 22,80,443 192.168.1.100

Hierbei werden nur die Ports 22, 80 und 443 gescannt. Außerdem können Sie mit -v die Ausgabe detaillierter gestalten (verbose modus):

sudo nmap -sS -v 192.168.1.100

Für eine noch gründlichere Untersuchung eignet sich -A, das eine Service- und Versionsdetektion sowie einen OS-Scan durchführt:

sudo nmap -sS -A 192.168.1.100

Was passiert hinter den Kulissen?

Beim SYN-Scan sendet Nmap ein TCP-Paket mit gesetztem SYN-Flag an den Zielport. Erhält er ein SYN/ACK-Paket zurück, erkennt Nmap den Port als offen und sendet daraufhin ein RST-Paket, um die Verbindung sofort abzubrechen.

Wenn stattdessen ein RST-Paket ankommt, ist der Port geschlossen. Durch dieses Vorgehen wird der vollständige drei-Wege-Handshake (SYN, SYN/ACK, ACK) nie abgeschlossen, was den Scan kaum im Zielsystem protokolliert.

Zusammenfassung

Ein TCP SYN-Scan mit Nmap ist eine effiziente und relativ unauffällige Methode, um offene TCP-Ports zu entdecken.

Die grundlegende Syntax ist sudo nmap -sS <ziel>, wobei <ziel> das zu scannende System bezeichnet.

Der Scan benötigt erhöhte Rechte und liefert schnelle sowie verlässliche Ergebnisse ohne vollständigen Verbindungsaufbau.

0

Kommentare