Nachdem ich im letzten Beitrag über den SYN-Scan geschrieben habe, folgt heute ein kurzer Beitrag über einen weiteren Scan-Typ. Der SYN-Scan wurde auch als halboffener Scan beschrieben, da er den Three-Way-Handshake nicht vervollständigt und somit keinerlei Kommunikation zustande kommen kann. Dem entgegen steht der TCP-Connect-Scan.
Wie der Name bereits sagt, wird hierbei eine komplette TCP-Sitzung aufgebaut und die Verbindung anschließen vom Client beendet.
Zum Aufbau der Verbindung müssen entsprechend mehr Pakete gesendet und vom Server verarbeitet werden. Gleichzeitig besteht somit auch eine größere Chance, dass Log-Systeme diesen Scan erkennen und dies protokollieren. Auch ist, bei gleichem Ergebnis, die Scan-Dauer höher. Dieser Scan-Typ ist somit nicht ganz so „geräuschlos“ wie der SYN-Scan. Anders als dieser benötigt der TCP-Connect-Scan jedoch keine administrativen Berechtigungen, was auf manchen Systemen von Vorteil sein kann.
#Syntax für einen TCP-Connect-Scan
nmap -sT 192.168.0.119
Im Wireshark stellt sich der TCP-Connect-Scan folgendermaßen darf. Der Übersichtlichkeit halber, habe ich hier auf den offenen Port 443 gefilter.
Zu erkennen ist der Three-Way-Handshake und ein anschließender Reset der Verbindung durch den Client. Auch dem TCP-Connect-Scan geht eine ICMP-Host-Discovery voraus, sofern diese nicht durch einen Parameter deaktiviert wurde.
Falls das System nicht auf ICMP-Anfragen reagiert, kann man nmap mitteilen, dass man den Host als „online“ behandeln möchte. In diesem Fall versucht nmap keine Host-Erkennung und fängt direkt an das Ziel zu scannen.
#Syntax für einen Scan ohne Host-Erkennung
nmap -Pn 192.168.0.119