Mål: At kunne benytte Nmap til at skanne et netværk, og bruge Wireshark til at undersøge hvad der sker på netværket når man skanner.
Jeg har undersøgt noget mere I forhold til værktøjet Nmap, og specifikt hvordan Nmap kommandoen nmap -sT <ip>, og nmap -sS <ip> fungere, og hvad forskellen på disse to kommandoer er. Fordi på overfladen ligner det at de gør det samme, men der er egentlig en væsentlig forskel.
Begge af disse kommandoer finder frem til hvilke porte som er åbne på en bestemt Ip adresse, men måden de har kommunikationen med destinations computeren er forskellig. nmap -sT <ip> benytter sig af et TCP 3 way handshake til at finde ud af hvilke porte som er åbne. Denne type skanning er typisk refereret som et “Full Open Scan”.
Det eneste problem der er ved denne fremgangsmåde er ved at benytte en fuld TCP Connection for at finde frem til hvilke porte som er åbne, så kan en eventuel firewall komme ind over og stoppe en fra at lave skanningen. Derfor er der lavet en anden kommando som er nmap -sS <ip>. Denne skanning kaldet en stealth skanning, eller “Half Open Scan”, bruger også TCP handshake til at finde frem til hvilke porte som er åbne. Forskellen ligger bare I at når man modtager en [SYN, ACK] fra destinations computeren, så sender man ikke den sidste [ACK] og derfor bliver TCP forbindelsen fuldført. Dette kan hjælpe på problemet ved firewalls, men firewalls er blevet smartere at selvom man gør dette kan man altså stadig blive opdaget.
Som man kan se på billedet på wireshark sender “Source” computeren aldrig en [ACK] tilbage for at færdiggøre forbindelsen, men sender derimod en [RST] altså en “TCP Reset” tilbage til destinations computeren, som er det samme som at forlade kommunikationen.
Kilder: