Nmap-Scans die in echten Netzen funktionieren
Timing, UDP-Realität und Service-Detection-Fallen auf lauten Kundennetzen im autorisierten Pentest.
Der Kunde sagte ICMP ist blockiert. Jemand startete nmap -Pn -p- 10.0.0.0/16 vom VPN und wunderte sich über das Firewall-Ticket vor Mittag.
Das nmap Cheat Sheet stimmt. Scope und Netztoleranz entscheiden, welche Zeile du wirklich ausführst.
Host Discovery ist kein Autopilot
-Pn hilft wenn Discovery lügt, nicht als Ersatz fürs Scope-Lesen. Mit Kundenliste validierst du Erreichbarkeit von deiner Position.
Erster sinnvoller Lauf:
nmap -sn -PE -PP -PS443,80,22 --max-retries 2 -T3 -iL scope-hosts.txt -oA discovery
Wenn fast nichts antwortet, dann -Pn auf derselben Liste. Nicht auf dem /16 aus dem Routing-Screenshot.
Timing zählt
-T4 auf Consumer-VPN ist nicht -T4 im Datacenter-VLAN mit aggressivem IDS. Ich bleibe bei -T3 beim Kunden.
nmap -sS -p- --max-rate 500 -T3 -iL fragile-segment.txt -oA tcp-slow
Du wirst später fertig. Du wirst das Engagement auch fertig machen.
Wenn -sV lügt
Versionserkennung ist probabilistisch. http wo keins ist, tcpwrapped auf offenen Diensten.
-sV als Hypothese behandeln. Danach curl -k oder openssl s_client.
nmap -sV -p $(cat open-ports.txt | tr '\n' , | sed 's/,$//') -T3 target.example -oA versions
UDP: Kämpfe auswählen
Kurze Liste intern: 53, 123, 161, 500. SNMP auf 161/udp hat öfter gelohnt als Full-UDP-Fantasie.
nmap -sU -p 53,123,161,500 --max-retries 1 -T3 target -oA udp-quick
Logging
-oA immer. Exakte Kommandozeile in den Notizen, nicht nur XML. Dateinamen mit Datum und Phase: 20260201-discovery, 20260201-tcp-top1k. Beim Reporting erklärst du sonst nicht warum Port 445 auf einem angeblich abgebauten Host auftauchte.
Scope-Änderungen passieren. Die Kommandozeile ist dein Beweis was du wirklich gescannt hast, nicht der XML-Export allein.
FAQ
Soll ich nmap immer mit -sV starten?
Nein. Versionserkennung vervielfacht Traffic und Lärm. Nutze sie auf bestätigten offenen Ports oder wenn du den Dienstnamen für Exploits brauchst. Auf fragilen Netzen ist -sV oft der Grund für die wütende SOC-Mail.
Ist -Pn standardmäßig sicher?
Kommt auf den Scope an. -Pn überspringt Host Discovery und behandelt jede IP als up, was Tausende Adressen außerhalb des Scopes scannen kann. Nur wenn ICMP blockiert ist und du eine enge Liste hast.
Warum bringen UDP-Scans wenig?
UDP ist langsam und viele Dienste antworten nur auf die richtige Probe. open|filtered ist normal. Fokus auf 53, 123, 161, 500 statt -sU -p- ohne Kundenfreigabe.
FAQ
- Soll ich nmap immer mit -sV starten?
- Nein. Versionserkennung vervielfacht Traffic und Lärm. Nutze sie auf bestätigten offenen Ports oder wenn du den Dienstnamen für Exploits brauchst. Auf fragilen Netzen ist -sV oft der Grund für die wütende SOC-Mail.
- Ist -Pn standardmäßig sicher?
- Kommt auf den Scope an. -Pn überspringt Host Discovery und behandelt jede IP als up, was Tausende Adressen außerhalb des Scopes scannen kann. Nur wenn ICMP blockiert ist und du eine enge Liste hast.
- Warum bringen UDP-Scans wenig?
- UDP ist langsam und viele Dienste antworten nur auf die richtige Probe. open|filtered ist normal. Fokus auf 53, 123, 161, 500 statt -sU -p- ohne Kundenfreigabe.