Was ist ein NMAP-Scan für UDP-Ports?

Das Scannen Ihres Netzwerks auf offene Ports und Services ist ein wichtiger Bestandteil der Bewertung Ihrer Angriffsfläche und der Erkennung von Schwachstellen. Ein NMAP-Port-Scan (Network Mapper) findet Hosts in Ihrem Netzwerk und identifiziert offene TCP- und UDP-Ports, auf diesen Ports ausgeführte Services und das Betriebssystem, das auf gezielten Hosts ausgeführt wird.

Was ist Port-Scanning?

Wenn ein Netzwerk wächst und immer mehr Geräte mit ihm verbunden sind, möchte ein Administrator möglicherweise eine Liste von Geräten und Diensten sammeln, die im Netzwerk ausgeführt werden. NMAP ist ein Linux-Befehl, der das Netzwerk scannt und offene Ports und Services findet, die mit der Umgebung verbunden sind. Der Hauptzweck eines NMAP-Port-Scans besteht darin, das Netzwerk zu überprüfen, ist aber auch nützlich, um Schwachstellen zu finden, die für mögliche Exploits offen sind.

Nachdem der NMAP-Befehl ausgeführt und ein Host gescannt wurde, zeigt der Ausgang offene Ports auf dem Zielcomputer an. Das folgende Bild ist ein Beispiel für einen NMAP-Ausgang, der offene Ports zeigt:

Was ist UDP vs. TCP/IP?

In einem Standardnetzwerk sind zwei Protokolle üblich: UDP und TCP . Das User Datagram Protocol (UDP) ist ein verbindungsloses Protokoll, das bedeutet, dass ein Computer eine Nachricht an einen Empfänger sendet, ohne zu wissen, ob der Empfänger verfügbar ist oder sie empfängt. Einfache Online-Textnachrichtensoftwares verwenden UDP, da es unnötig ist, zu wissen, ob die andere Partei online ist, um die Nachricht zu erhalten.

Transmission Control Protocol (TCP) ist ein verbindungsbasiertes Protokoll, bei dem ein Handshake vor der Übertragung von Daten erfolgt. UDP ist leichter als TCP, aber TCP stellt sicher, dass die andere Partei online und mithilfe eines Prozesses namens Handshake verfügbar ist. Der TCP-Handshake ist bei Webanwendungen üblich, bei denen der Handshake stattfindet, bevor ein Benutzer Inhalte von einem Server herunterlädt.

Die IP-Komponente (Internet Protocol) in TCP/IP ist die Adresse, die jeder verbundenen Maschine zugewiesen ist – Server, mobile Geräte, Desktop-Computer, IoT-Geräte und jede andere Maschine, die Daten senden und empfangen muss. Die meisten Anwendungen verwenden TCP/IP für ihre verbindungsbasierten Datenübertragungen, aber UDP ist auch für einfache Benachrichtigungs- und Chat-Anwendungen nützlich.

Das NMAP-Tool sucht nach offenen TCP- und UDP-Ports auf verbundenen Geräten. Sehen Sie sich den Ausgang nach Ausführung eines NMAP-Befehls an, und die aufgeführten offenen Ports zeigen auch das Protokoll an. NMAP teilt Ihnen auch mit, ob der Status offen oder geschlossen ist und der Dienst auf dem Port ausgeführt wird.

Was ist Network Mapper (NMAP)?

Das NMAP-Tool ist eine Scananwendung mit einer grafischen Benutzeroberfläche (GUI) oder einer Standardbefehlszeilen-Oberfläche. Das Tool findet Computer im Netzwerk und scannt sie nach offenen Ports. NMAP scannt mehr als nur Computer. Es scannt jedes mit dem Netzwerk verbundene Gerät, einschließlich Desktops, mobile Geräte, Router und IoT-Geräte.

NMAP ist ein Open-Source-Tool, das auf der Entwicklerwebsite kostenlos verfügbar ist. Sie wird auf Linux-, Mac- und Windows-Betriebssystemen ausgeführt. Das Dienstprogramm ist seit Jahren Teil der meisten Tools für Netzwerkadministratoren und ethisches Hacking und ist nützlich, um Geräte in einem Netzwerk zu finden und festzustellen, ob sie über anfällige Services verfügen, die darauf ausgeführt werden.

So führen Sie einen NMAP-UDP-Scan durch

Bevor Sie einen NMAP-Scan durchführen, öffnen Sie die NMAP-GUI oder öffnen Sie Ihr Befehlszeilen-Dienstprogramm. Die meisten Administratoren verwenden NMAP in der Befehlszeile, da es schnell und einfach mit der grundlegenden Ausgabe zur Überprüfung verwendet werden kann. Nach der Eingabe des Befehls sucht das NMAP-Tool nach Geräten in einem Subnetz. Jedes Subnetz hat eine definitive Anzahl von Hosts, sodass NMAP jede Möglichkeit auf eine Host-Antwort scannt. Mit einer Host-Antwort identifiziert das NMAP-Tool dann offene UDP- und TCP-Ports.

Sie können auch bestimmte Ports auf NMAP scannen, anstatt alle IP-Adressen für alle offenen Ports zu scannen. Ports erhalten einen numerischen Wert zwischen 1 und 65.535. Daher sollten Sie eine Suche nach Diensten durchführen, die auf einem bestimmten Port ausgeführt werden, bevor Sie einen Scan ausführen. Sobald Sie einen Port ausgewählt haben, können Sie den folgenden Befehl ausführen:

nmap -p 22 192.168.1.100

Der obige NMAP-Scan sucht nach dem offenen Port 22 (dem SSH-Service), der auf einem Gerät mit der IP-Adresse 192.168.1.100 ausgeführt wird. Wenn der Service auf dem Zielhost ausgeführt wird, zeigt der NMAP-Ausgang den Status als offen an. Wenn nicht, zeigt der NMAP-Ausgang den Status als geschlossen an.

UDP-Scans sind langsamer als TCP-Scans, sodass es zu extremen Verzögerungen bei den Reaktionen oder langen Verzögerungen kommen kann, bevor das Tool die Ausgabe anzeigt. Einige Hosts benötigen möglicherweise bis zu eine Stunde, um zu scannen, wenn Sie den NMAP-Prozess nicht optimieren. Sie können UDP-Scans je nach Anwendungsfall beschleunigen. Verwenden Sie beispielsweise den folgenden NMAP-Befehl, um langsam reagierende Hosts zu eliminieren und Scans aufzugeben, wenn ein Host nicht innerhalb von 1 Minute antwortet:

nmap 192.168.1.100 --host-timeout 1m

Ohne TCP oder UDP anzugeben, versucht NMAP alle offenen Ports. Eine weitere Möglichkeit, Scans zu optimieren, besteht darin, sie auf UDP-Ports zu beschränken und die Versionsintensität festzulegen. Wenn Sie die Versionsintensität auf 0 setzen, werden nur gängige Services angezeigt, die auf dem Zielhost ausgeführt werden. Die Versionsintensität reicht von 0 bis 9. Je höher die Intensität, desto mehr Sonden werden an den Zielhost gesendet. Die NMAP-Standardeinstellung ist 7. Durch Ausführen des folgenden Befehls werden nur gemeinsame Ports auf dem Host gefunden:

nmap 192.168.1.100 -sU -sV –version-intensity 0

Warum würden Sie einen UDP-Scan mit NMAP durchführen?

Administratoren haben mehrere Gründe, einen UDP-Scan mit NMAP durchzuführen. Es kann sein, dass das Netzwerk einfach auf offene unnötige Ports überprüft wird. Aus Gründen der Cybersicherheit sollten unnötige Services deaktiviert werden, und ein NMAP-Scan informiert Administratoren darüber, welche Maschinen Services ausführen, die heruntergefahren werden können.

Ein weiterer Grund für einen UDP-Scan besteht darin, Schwachstellen im Netzwerk zu finden. Wenn ein Angreifer Malware im Netzwerk installieren kann, kann ein kompromittierter Host einen böswilligen Dienst auf einem UDP-Port ausführen. Mit dem NMAP-Scan würde ein Administrator den offenen Port finden und zusätzliche Scans und Analysen auf dem Host durchführen. 

NMAP könnte auch zum Auffinden von Hosts im Netzwerk verwendet werden. Schatten-IT ist der Begriff, der für nicht autorisierte Geräte vergeben wird, die im Netzwerk installiert sind. Ein Administrator konnte das nicht autorisierte Gerät finden und herausfinden, wer es besitzt und wie es in der Umgebung installiert wurde.

Fazit

Für jeden Administrator, der für die Netzwerksicherheit verantwortlich ist, ist das NMAP-Tool ein großartiger Auditing- und Schwachstellenscanner. NMAP kann Maschinen, Betriebssysteme und Services erkennen, die nicht in der Umgebung ausgeführt werden sollten. Die Entdeckung von nicht autorisierten Geräten und offenen Ports ist für die Sicherung von Hosts und den Schutz von Unternehmensdaten unerlässlich. Port-Scanning ist nur eine Facette der Art der Überwachung, die Sie durchführen müssen, um Ihr Rechenzentrum zu schützen. Unterstützen Sie Ihre Sicherheitsanalysen mit leistungsfähigen, skalierbaren und einfachen Dateninfrastrukturlösungen von Pure Storage.