Aus dem Alltag eines Sysadmin: Nmap 4

Der Network Mapper, kurz Nmap [1], ist mein täglicher Begleiter. In diesen Tagen feiert Nmap-Erfinder Fyodor den achten Geburtstag seines Tools, als Geschenk gibt es neben der Code-Diät nützliche Funktionen. Eine der aufregendsten Novitäten ist die Implementation von ARP-Scans in die Scan-Engine. Die Vorgängerversion warf eine einstellbare Menge von IP-Paketen verschiedenster Art ins Zielnetz und hoffte, dass wenigstens einige beantwortet würden.

Zumindest bei Scans in lokalen Netzen gibt es aber eine intelligentere Methode. Da das Betriebssystem ohnehin per ARP-Request die MAC-Adresse des Ziels feststellen muss, um seine Pakete richtig zu adressieren, nimmt Nmap ihm diese Aufgabe jetzt einfach ab - und erhält dadurch schnell und zuverlässig Informationen darüber, wie viele und welche Hosts überhaupt online sind.

Ein Ping oder Ähnliches zu schicken ist dann nicht nötig (und wäre auch weniger zuverlässig). Ich muss mir dafür nicht einmal eine andere Syntax angewöhnen: Bei Scans im LAN nimmt Nmap automatisch den effektiveren ARP-Scan, selbst wenn ich auf der Kommandozeile »-sP« (Ping Scan) übergebe. Laut Manpage geht das allerdings nur, wenn Nmap mit Root-Rechten startet. Um dem Tool das alte Verhalten aufzuzwingen, bedarf es des Parameters »--send-ip«.

Fälscherwerkstatt

Ebenfalls neu ist der »--badsum«-Parameter. Er veranlasst Nmap dazu, TCP- oder UDP-Pakete mit falscher Checksumme an den Zielhost zu schicken. Praktisch jeder Rechner, der solche Pakete empfängt, entsorgt sie auf der Stelle. Falls Nmap dennoch eine Antwort erhält, ist das gescannte Objekt mit höchster Wahrscheinlichkeit eine Firewall oder ein IDS, das sich nicht die Mühe macht, die Checksummen zu prüfen. Mittels »--spoof-mac MAC-Adresse« fälscht das Tool jetzt auch kinderleicht die eigene MAC-Adresse.

Die Betriebssystem- und Versionserkennung mit dem Parameter »-O« kennt Nmap seit längerem, ab nun funktioniert sie allerdings besser. Ein Beispiel: Ich scanne einen Router in meinem Testnetz mit dem Kommando »nmap -O 10.0.0.50«. Mit Nmap 3.70 sieht die Ausgabe, auf das Wichtige gekürzt, so aus:

MAC Address: 00:05:5E:96:3D:00 (CiscoSystems)
No exact OS matches for host

Nmap 4.00 gibt mir eine ungleich klarere Auskunft:

Device type: router
Running: Cisco IOS 12.X
OS details: Cisco 2600 router running IOS 12.2(3), Cisco router running IOS 12.1

Das gleiche Bild ergibt sich bei der Versionserkennung. Wenn ich herausfinden will, welcher IMAP-Daemon läuft, tippe ich »nmap -sV 10.0.0.88 -p143«. Bingo:

143/tcp  open    imap    UW imapd 2004.352

Nmap bot früher eine herrliche Möglichkeit, per Drucker-Scan Kollegen auf Kosten des heimischen Baumbestands zu ärgern. Netzwerkdrucker lauschen meist auf Port 9100 und viele konvertieren alle dort einlaufende Daten ohne Prüfung zu Papier. Dem schiebt Nmap 4.00 nun einen Riegel vor. Auf mein Kommando »nmap -sV printer -p 9100« kommt nur

9100/tcp open  jetdirect? Excluded from version scan

statt des Papierkriegs. Aber Fyodor ist kein Spielverderber. Für absichtlichen Papierkrieg kennt sein Achtjähriger die Option »--allports«. Der Siebenjährige Krieg der Papiertiger geht also weiter. (jk)

Der Autor
Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ (demilitarisierte Zone). In seiner Freizeit lernt er Japanisch, um endlich die Bedienungsanleitung seiner Mikrowelle lesen zu können.

Copyright © 2002 Linux New Media AG