Warum alle 65535 Ports scannen, und wie macht man das effizient mit nmap?
Kurzantwort
Der Standard-nmap-Scan deckt nur die 1000 häufigsten Ports ab, also würde ein Dienst auf einem hohen Port komplett übersehen. Das effiziente Muster ist zuerst ein schneller SYN-Scan aller 65535 Ports, dann ein fokussierter Versions- und Standardskript-Scan nur gegen die als offen gefundenen Ports.
Eine überraschende Zahl von OSCP-Maschinen platziert ihren Schlüsseldienst bewusst auf einem nicht standardmäßigen hohen Port — etwa eine Web-App auf 8080 oder einen eigenen Dienst auf 50000. nmaps Standardverhalten sondiert nur die 1000 häufigsten Ports, also wirst du diesen Dienst, wenn du dem Standard vertraust, schlicht nie sehen und die Maschine wird unmöglich.
Das zweistufige Muster
Einen tiefen Versions- und Skript-Scan über alle 65535 Ports laufen zu lassen, ist quälend langsam. Der effiziente Ansatz teilt die Arbeit auf:
- Schnelle Entdeckung. Ein SYN-Scan über jeden Port (
nmap -p- --min-rate 1000 <ip>) sagt dir schnell, welche Ports offen sind, ohne aufwendiges Sondieren. - Gezielte Tiefe. Nimm nur die offenen Ports und führe Versionserkennung und Standardskripte gegen sie aus (
nmap -p 22,80,8080 -sV -sC <ip>). Das liefert Banner, Softwareversionen und schnelle Treffer wie anonymes FTP oder offengelegte Freigaben. Das Cheatsheet nmap-Scans, die echte Netzwerke überstehen behandelt die Timing- und Evasion-Flags, die man kennen sollte.
Warum die Reihenfolge wichtig ist
Die Versionsnummern aus -sV sind der Ausgangspunkt für searchsploit- und CVE-Suchen. Die Standardskripte in -sC sind sichere, leichtgewichtige Prüfungen, die oft tief hängende Früchte zutage fördern. Sie für den fokussierten Durchlauf aufzusparen hält deinen ersten Durchlauf schnell.
Vergiss UDP nicht
TCP hat Priorität, aber Dienste wie SNMP (161), TFTP (69) und DNS (53) leben auf UDP und werden leicht übersehen. Ein Top-Ports-UDP-Scan (nmap -sU --top-ports 100) fängt die gängigen ab; UDP ist langsam, weil geschlossene Ports oft nicht antworten, daher lohnen sich vollständige UDP-Durchläufe unter Zeitdruck selten.
Worauf Interviewer achten
Sie wollen den Kandidaten, der weiß, dass der Standard hohe Ports verfehlt, der die Entdeckung vom tiefen Scan zur Beschleunigung trennt und der sich daran erinnert, dass es UDP gibt. Die genauen Flags zu nennen und die Abwägungen zu erklären zeigt echte praktische Erfahrung.
Wahrscheinliche Anschlussfragen
- Was führt das -sC-Flag tatsächlich aus, und wann ist es riskant?
- Wie unterscheidet sich das UDP-Scanning und warum ist es langsamer?