-sS
(TCP SYN-Scan)
Der SYN-Scan ist aus gutem Grund die Standard- und beliebteste Scan-Option. Er kann schnell durchgeführt werden und scannt Tausende von Ports pro Sekunde in einem schnellen Netzwerk, das nicht durch restriktive Firewalls behindert wird. Außerdem ist er relativ unauffällig und unbemerkt, da er nie TCP-Verbindungen abschließt. Der SYN-Scan funktioniert mit jedem kompatiblen TCP-Stack und ist nicht von den Eigenheiten bestimmter Plattformen abhängig wie die Nmap-Scans FIN/NULL/Xmas, Maimon und Idle. Es ermöglicht auch eine klare, zuverlässige Unterscheidung zwischen den Zuständen open
,closed
und filtered
.
Diese Technik wird oft als halboffener Scan bezeichnet, weil man keine vollständige TCP-Verbindung öffnet. Man sendet ein SYN-Paket, als ob man eine echte Verbindung öffnen würde, und wartet dann auf eine Antwort. Ein SYN/ACK zeigt an, dass der Anschluss zuhört (offen ist), während einRST (Reset) darauf hinweist, dass der Anschluss nicht zuhört. Wenn nach mehreren erneuten Übertragungen keine Antwort empfangen wird, wird der Anschluss als gefiltert gekennzeichnet. Der Port wird auch als gefiltert markiert, wenn ein ICMP-Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13) empfangen wird. Der Port gilt auch als offen, wenn als Antwort ein SYN-Paket (ohne ACK-Flag) empfangen wird. Dies kann auf eine extrem seltene TCP-Funktion zurückzuführen sein, die als simultan offene oder geteilte Handshake-Verbindung bekannt ist (siehe https://nmap.org/misc/split-handshake.pdf).
-sT
(TCP connect scan)
TCP connect scan ist der Standard-TCP-Scantyp, wenn SYN scan keine Option ist. Dies ist der Fall, wenn ein Benutzer keine Raw-Packet-Privilegien hat. Statt rohe Pakete zu schreiben, wie es die meisten anderen Scan-Typen tun, bittet Nmap das zugrundeliegende Betriebssystem, eine Verbindung mit dem Zielrechner und dem Port herzustellen, indem es den Systemaufruf connect
ausführt. Dies ist derselbe High-Level-Systemaufruf, den Webbrowser, P2P-Clients und die meisten anderen netzwerkfähigen Anwendungen verwenden, um eine Verbindung herzustellen, und er ist Teil einer Programmierschnittstelle, die als Berkeley SocketsAPI bekannt ist. Anstatt rohe Paketantworten aus der Leitung zu lesen, benutzt Nmap diese API, um Statusinformationen über jeden Verbindungsversuch zu erhalten.
Wenn ein SYN-Scan verfügbar ist, ist er normalerweise die bessere Wahl. Nmap hat weniger Kontrolle über den High-Level-connect
Aufruf als bei rohen Paketen, was ihn weniger effizient macht. Der Systemaufruf vervollständigt Verbindungen zu offenen Ziel-Ports, statt wie beim SYN-Scan die Hälfte der offenen Ports zurückzusetzen. Dies dauert nicht nur länger und erfordert mehr Pakete, um die gleichen Informationen zu erhalten, sondern es ist auch wahrscheinlicher, dass die Zielgeräte die Verbindung protokollieren. Ein anständiges IDS wird beides auffangen, aber die meisten Rechner haben kein solches Alarmsystem. Viele Dienste auf einem durchschnittlichen Unix-System geben eine Notiz ins Syslog ein und manchmal auch eine kryptische Fehlermeldung, wenn Nmap eine Verbindung herstellt und dann die Verbindung schließt, ohne Daten zu senden. Wirklich erbärmliche Dienste stürzen ab, wenn das passiert, aber das ist ungewöhnlich. Ein Administrator, der in seinen Protokollen eine Reihe von Verbindungsversuchen von einem einzigen System sieht, sollte wissen, dass es gescannt wurde.
-sU
(UDP-Scans)
Während die meisten gängigen Dienste im Internet über das TCP-Protokoll laufen, sind UDP-Dienste weit verbreitet. DNS, SNMP und DHCP (registrierte Ports 53, 161/162 und 67/68) sind drei der am häufigsten genutzten. Da UDP-Scans in der Regel langsamer und schwieriger sind als TCP, ignorieren einige Sicherheitsprüfer diese Ports. Das ist ein Fehler, denn ausnutzbare UDP-Dienste sind weit verbreitet, und Angreifer ignorieren sicherlich nicht das gesamte Protokoll. Zum Glück kann Nmap bei der Inventarisierung von UDP-Ports helfen.
Der UDP-Scan wird mit der Option -sU
aktiviert. Er kann mit einem TCP-Scan-Typ wie dem SYN-Scan (-sS
) kombiniert werden, um beide Protokolle während des gleichen Laufs zu überprüfen.
Der UDP-Scan funktioniert, indem er ein UDP-Paket an jeden angepeilten Port sendet. Für einige gängige Ports wie 53 und 161 wird eine protokollspezifische Nutzlast gesendet, um die Antwortrate zu erhöhen, aber für die meisten Ports ist das Paket leer, es sei denn, die Optionen --data
,--data-string
oder --data-length
sind angegeben.Wenn ein ICMP-Port-Unreachable-Fehler (Typ 3, Code 3) zurückgegeben wird, ist der Port closed
. Andere ICMP-Unerreichbarkeitsfehler (Typ 3, Code 0, 1, 2, 9, 10 oder 13) kennzeichnen den Port als filtered
. Gelegentlich antwortet aservice mit einem UDP-Paket, das beweist, dass es open
ist. Wenn nach erneuten Übertragungen keine Antwort empfangen wird, wird der Port als open|filtered
eingestuft. Dies bedeutet, dass der Port offen sein könnte oder dass vielleicht Paketfilter die Kommunikation blockieren. Die Versionserkennung (-sV
) kann dabei helfen, die wirklich offenen Ports von den gefilterten zu unterscheiden.
Eine große Herausforderung beim UDP-Scannen ist es, es schnell zu machen.Offene und gefilterte Ports senden selten eine Antwort, so dass Nmap eine Zeitüberschreitung und dann erneute Übertragungen durchführen muss, nur für den Fall, dass die Sonde oder die Antwort verloren gegangen sind. Geschlossene Ports sind oft ein noch größeres Problem: Sie senden in der Regel einen ICMP-Port-Unreachable-Fehler zurück. Aber im Gegensatz zu denRST -Paketen, die von geschlossenen TCP-Ports als Antwort auf einen SYN- oder Connectscan gesendet werden, begrenzen viele Hosts standardmäßig die Anzahl der ICMP-Port-Unreachable-Meldungen.Linux und Solaris sind in dieser Hinsicht besonders streng. Der Linux-Kernel 2.4.20 beispielsweise begrenzt die Anzahl der unerreichbaren Nachrichten auf eine pro Sekunde (in net/ipv4/icmp.c
).
Nmap erkennt die Ratenbegrenzung und verlangsamt die Geschwindigkeit entsprechend, um zu vermeiden, dass das Netzwerk mit nutzlosen Paketen überflutet wird, die der Zielcomputer verwirft. Leider dauert ein Scan mit 65.536 Ports aufgrund der Linux-üblichen Begrenzung auf ein Paket pro Sekunde mehr als 18 Stunden. Um die UDP-Scans zu beschleunigen, können Sie mehrere Hosts parallel scannen, zuerst nur die beliebten Ports scannen, hinter der Firewall scannen und --host-timeout
verwenden, um langsame Hosts zu überspringen.
-sY
(SCTP INIT scan)
SCTP ist eine relativ neue Alternative zu den TCP- und UDP-Protokollen, die die meisten Eigenschaften von TCP und UDP kombiniert und auch neue Funktionen wie Multi-Homing und Multi-Streaming hinzufügt. SCTP INIT-Scan ist das SCTP-Äquivalent eines TCP SYN-Scans und kann schnell durchgeführt werden, indem Tausende von Ports pro Sekunde in einem schnellen Netzwerk gescannt werden, das nicht von restriktiven Firewalls behindert wird.Wie der SYN-Scan ist der INIT-Scan relativ unauffällig und heimlich, da er nie SCTP-Assoziationen abschließt. Außerdem ermöglicht er eine klare und zuverlässige Unterscheidung zwischen den Zuständen open
,closed
und filtered
.
Diese Technik wird oft als halboffener Scan bezeichnet, da Sie keine vollständige SCTP-Assoziation öffnen. Man sendet einen INITchunk, als ob man eine echte Assoziation öffnen würde, und wartet dann auf eine Antwort. Ein INIT-ACK-Chunk zeigt an, dass der Anschluss zuhört (offen ist), während ein ABORT-Chunk darauf hinweist, dass der Anschluss nicht zuhört. Wenn nach mehreren erneuten Übertragungen keine Antwort empfangen wird, wird der Anschluss als gefiltert gekennzeichnet. Der Port wird auch als gefiltert markiert, wenn ein ICMPunreachable-Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13) empfangen wird.
-sN
;-sF
;-sX
(TCP NULL-, FIN- und Xmas-Scans)
Diese drei Scan-Typen (mit der im nächsten Abschnitt beschriebenen Option--scanflags
sind noch mehr möglich) nutzen eine subtile Lücke im TCP RFC aus, um zwischen open
– undclosed
-Ports zu unterscheiden. Auf Seite 65 von RFC 793 heißt es: „Wenn der Zustand des Ports CLOSED …. ist, bewirkt ein eingehendes Segment, das kein RST enthält, dass als Antwort ein RST gesendet wird.“ Auf der nächsten Seite werden Pakete diskutiert, die an offene Ports gesendet werden, ohne dass die SYN-, RST- oder ACK-Bits gesetzt sind, und es wird festgestellt, dass: „
Beim Scannen von Systemen, die diesem RFC-Text entsprechen, führt jedes Paket, das keine SYN-, RST- oder ACK-Bits enthält, zu einem zurückgesendeten RST, wenn der Port geschlossen ist, und zu gar keiner Antwort, wenn der Port offen ist. Solange keines dieser drei Bits enthalten ist, ist jede Kombination der anderen drei (FIN, PSH und URG) OK. Nmap nutzt dies mit drei Scan-Typen aus:
-sN
)
Setzt keine Bits (TCP-Flag-Header ist 0)
FIN-Scan (-sF
)
Setzt nur das TCP-FIN-Bit.
Xmas scan (-sX
)
Setzt die FIN-, PSH- und URG-Flags und lässt das Paket wie einen Weihnachtsbaum leuchten.
Diese drei Scan-Typen verhalten sich genau gleich, mit Ausnahme der TCP-Flags, die in Probe-Paketen gesetzt werden. Wenn ein RST-Paket empfangen wird, gilt der Port als closed
, während keine Antwort bedeutet, dass er open|filtered
ist. Der Port wird als filtered
markiert, wenn ein ICMP-Unreachable-Fehler (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13) empfangen wird.
Der Hauptvorteil dieser Scan-Typen besteht darin, dass sie bestimmte Non-Stateful-Firewalls und Paketfiltering-Router umgehen können. Ein weiterer Vorteil ist, dass diese Scan-Typen ein wenig unauffälliger sind als ein SYN-Scan. Verlassen Sie sich jedoch nicht darauf – die meisten modernen IDS-Produkte können so konfiguriert werden, dass sie sie erkennen. Der große Nachteil ist, dass nicht alle Systeme RFC 793 buchstabengetreu befolgen. Einige Systeme senden RST-Antworten an die Sonden, unabhängig davon, ob der Port offen ist oder nicht. Dies führt dazu, dass alle Ports als closed
bezeichnet werden. Die wichtigsten Betriebssysteme, die dies tun, sind Microsoft Windows, viele Cisco-Geräte, BSDI und IBM OS/400. Dieser Scan funktioniert jedoch auch bei den meisten Unix-basierten Systemen. Ein weiterer Nachteil dieser Scans ist, dass sie open
Ports nicht von bestimmten filtered
Ports unterscheiden können, so dass Sie die Antwort open|filtered
erhalten.
-sA
(TCP ACK scan)
Dieser Scan unterscheidet sich von den anderen bisher besprochenen dadurch, dass er niemals open
(oder sogar open|filtered
) Ports ermittelt. Er wird verwendet, um Firewall-Regelsätze abzubilden und festzustellen, ob sie stateful sind oder nicht und welche Ports gefiltert sind.
Das ACK-Scan-Sondenpaket hat nur das ACK-Flag gesetzt (es sei denn, Sie verwenden --scanflags
). Wenn Sie ungefilterte Systeme scannen, geben die Ports open
und closed
beide ein RST-Paket zurück. Nmap kennzeichnet sie dann alsunfiltered
, was bedeutet, dass sie durch dasACK -Paket erreichbar sind, aber ob sie open
oderclosed
sind, ist unbestimmt. Ports, die nicht antworten oder bestimmte ICMP-Fehlermeldungen zurücksenden (Typ 3, Code 0, 1, 2, 3, 9, 10 oder 13), werden mit filtered
gekennzeichnet.
-sW
(TCP Window scan)
Window scan ist genau dasselbe wie ACK scan, außer dass er ein Implementierungsdetail bestimmter Systeme ausnutzt, um offene von geschlossenen Ports zu unterscheiden, anstatt immerunfiltered
zu drucken, wenn ein RST zurückgegeben wird. Er tut dies, indem er das TCP-Fensterfeld der zurückgegebenen RST-Pakete untersucht. Auf manchen Systemen verwenden offene Ports eine positive Fenstergröße (auch für RST-Pakete), während geschlossene Ports ein Null-Fenster haben. Anstatt also einen Port immer als unfiltered
aufzulisten, wenn er ein RST-Paket zurückerhält, listet der Window-Scan den Port als open
oderclosed
auf, wenn der TCP-Fensterwert in diesem Reset positiv bzw. null ist.
Dieser Scan beruht auf einem Implementierungsdetail einer Minderheit von Systemen im Internet, so dass man ihm nicht immer vertrauen kann. Systeme, die ihn nicht unterstützen, geben normalerweise alle Portsclosed
zurück. Natürlich ist es möglich, dass der Rechner tatsächlich keine offenen Ports hat. Wenn die meisten gescannten Ports closed
sind, aber einige häufige Portnummern (wie 22, 25, 53) filtered
sind, ist das System höchstwahrscheinlich anfällig. Gelegentlich zeigen Systeme sogar das genaue Gegenteil. Wenn Ihr Scan 1.000 offene Ports und drei geschlossene oder gefilterte Ports anzeigt, dann können diese drei sehr wohl die wirklich offenen sein.
-sM
(TCP-Maimon-Scan)
Der Maimon-Scan ist nach seinem Entdecker Uriel Maimon benannt, der die Technik in der Ausgabe Nr. 49 des Phrack Magazine (November 1996) beschrieb.Nmap, das diese Technik enthielt, wurde zwei Ausgaben später veröffentlicht.Diese Technik ist genau dasselbe wie die NULL-, FIN- und Xmas-Scans, mit der Ausnahme, dass die Probe FIN/ACK ist. Nach RFC 793 (TCP) sollte als Antwort auf eine solche Prüfung ein RST-Paket erzeugt werden, unabhängig davon, ob der Port offen oder geschlossen ist. Uriel hat jedoch festgestellt, dass viele von BSD abgeleitete Systeme das Paket einfach verwerfen, wenn der Port offen ist.
--scanflags
(Benutzerdefinierter TCP-Scan)
Wirklich fortgeschrittene Nmap-Benutzer müssen sich nicht auf die angebotenen Scantypen beschränken. Mit der Option --scanflags
können Sie Ihren eigenen Scan entwerfen, indem Sie beliebigeTCP-Flags angeben. Lassen Sie Ihrer Kreativität freien Lauf und entgehen Sie dabei Systemen zur Erkennung von Eindringlingen, deren Hersteller einfach die Nmap-Manpage durchgeblättert und spezifische Regeln hinzugefügt haben!
Das Argument --scanflags
kann ein numerischer Flag-Wert wie 9 (PSH und FIN) sein, aber es ist einfacher, symbolische Namen zu verwenden. Kombinieren Sie einfach eine beliebige Kombination aus URG
,ACK
, PSH
,RST
, SYN
undFIN
. Zum Beispiel setzt --scanflagsURGACKPSHRSTSYNFIN
alles, obwohl es für das Scannen nicht sehr nützlich ist. Die Reihenfolge, in der sie angegeben werden, ist nicht relevant.
Zusätzlich zur Angabe der gewünschten Flags können Sie einenTCP-Scantyp angeben (z.B. -sA
oder -sF
).Dieser Basistyp sagt Nmap, wie Antworten zu interpretieren sind. Bei einem SYN-Scan wird z.B. keine Antwort als Hinweis auf einenfiltered
-Port betrachtet, während ein FIN-Scan dasselbe alsopen|filtered
behandelt. Nmap verhält sich genauso wie beim Basisscantyp, nur dass es stattdessen die von Ihnen angegebenen TCP-Flags verwendet. Wenn Sie keinen Basistyp angeben, wird der SYN-Scan verwendet.
-sZ
(SCTP COOKIE ECHO scan)
SCTP COOKIE ECHO scan ist ein erweiterter SCTP-Scan. Er macht sich die Tatsache zunutze, dass SCTP-Implementierungen Pakete mit COOKIE ECHO-Blöcken auf offenen Ports stillschweigend ablegen sollten, aber einen ABORT senden, wenn der Port geschlossen ist. Der Vorteil dieses Scantyps ist, dass er als Port-Scan nicht so offensichtlich ist wie ein INIT-Scan. Außerdem kann es nichtstaatliche Firewall-Regelsätze geben, die INIT-Chunks blockieren, aber keine COOKIE-ECHOchunks. Ein gutes IDS ist in der Lage, auch SCTP-COOKIE-ECHO-Scans zu erkennen. Der Nachteil ist, dass SCTP-COOKIE-ECHO-Scans nicht zwischen open
und filtered
Ports unterscheiden können, so dass in beiden Fällen der Status open|filtered
vorliegt.
-sI
(Leerlauf-Scan)<zombie host>
Diese erweiterte Scan-Methode ermöglicht einen wirklich blinden TCP-Port-Scan des Ziels (d. h. es werden keine Pakete von Ihrer echten IP-Adresse an das Ziel gesendet). Stattdessen nutzt ein einzigartiger Seitenkanalangriff die vorhersehbare IP-Fragmentierungs-ID-Sequenzerzeugung auf dem Zombie-Host, um Informationen über die offenen Ports des Ziels zu erhalten. IDS-Systeme zeigen den Scan als von dem von Ihnen angegebenen Zombie-Rechner kommend an (der aktiv sein und bestimmte Kriterien erfüllen muss). Alle Einzelheiten zu diesem faszinierenden Scantyp finden Sie im Abschnitt „TCP Idle Scan (-sI
)“.
Dieser Scantyp ist nicht nur außerordentlich heimlich (aufgrund seiner blinden Natur), sondern ermöglicht auch die Ermittlung von IP-basierten Vertrauensbeziehungen zwischen Rechnern. Die Portliste zeigt die offenen Ports aus der Perspektive des Zombie-Hosts. Sie können also versuchen, ein Ziel mit verschiedenen Zombies zu scannen, von denen Sie annehmen, dass sie vertrauenswürdig sind (über Router/Paketfilterregeln).
Sie können dem Zombie-Host einen Doppelpunkt gefolgt von einer Port-Nummer hinzufügen, wenn Sie einen bestimmten Port auf dem Zombie auf IP-ID-Änderungen untersuchen wollen. Ansonsten verwendet Nmap den Port, den es standardmäßig für TCP-Pings verwendet (80).
-sO
(IP-Protokoll-Scan)
Mit dem IP-Protokoll-Scan können Sie feststellen, welche IP-Protokolle (TCP, ICMP, IGMP usw.) von den Zielrechnern unterstützt werden. Technisch gesehen handelt es sich nicht um einen Port-Scan, da er die IP-Protokollnummern und nicht die TCP- oder UDP-Portnummern durchläuft. Dennoch verwendet es die Option-p
, um gescannte Protokollnummern auszuwählen, meldet seine Ergebnisse im normalen Porttabellenformat und verwendet sogar die gleiche zugrunde liegende Scan-Engine wie die echten Port-Scan-Methoden. Es ist also nahe genug an einem Port-Scan, um hierher zu gehören.
Abgesehen davon, dass es für sich genommen nützlich ist, zeigt der Protokoll-Scan die Stärke von Open-Source-Software. Obwohl die Grundidee ziemlich einfach ist, hatte ich nicht daran gedacht, sie hinzuzufügen, und auch keine Anfragen für eine solche Funktionalität erhalten. Dann, im Sommer 2000, hatte Gerhard Rieger die Idee, schrieb einen ausgezeichneten Patch, der sie implementierte, und schickte ihn an die Mailinglisteannounce (damals nmap-hackers genannt).Ich habe diesen Patch in den Nmap-Baum integriert und am nächsten Tag eine neue Version veröffentlicht. Nur wenige kommerzielle Software hat Benutzer, die enthusiastisch genug sind, ihre eigenen Verbesserungen zu entwerfen und beizusteuern!
Der Protokoll-Scan funktioniert ähnlich wie der UDP-Scan. Anstatt das Portnummernfeld eines UDP-Pakets zu durchlaufen, sendet es IP-Paket-Header und durchläuft das Acht-Bit-IP-Protokollfeld.Die Header sind normalerweise leer, enthalten keine Daten und nicht einmal den richtigen Header für das beanspruchte Protokoll. Die Ausnahmen sind TCP, UDP, ICMP, SCTP und IGMP. Für diese ist ein richtiger Protokoll-Header enthalten, weil einige Systeme sie sonst nicht senden würden und weil Nmap bereits Funktionen hat, um sie zu erstellen. Anstatt nach ICMP-Portunreachable-Meldungen zu suchen, hält der Protokoll-Scan nach ICMP-Protokoll-Unreachable-Meldungen Ausschau. Wenn Nmap eine Antwort in einem beliebigen Protokoll vom Zielhost erhält, markiert Nmap dieses Protokoll als open
. Ein ICMP-Protokoll-Unreachable-Fehler (Typ 3, Code 2) führt dazu, dass das Protokoll alsclosed
markiert wird, während Port Unreachable (Typ 3, Code 3) das Protokoll als open
markiert. Andere ICMP-Unreachable-Fehler (Typ 3, Code 0, 1, 9, 10 oder 13) führen dazu, dass das Protokoll alsfiltered
markiert wird (obwohl sie gleichzeitig beweisen, dass ICMPopen
ist). Wenn nach erneuten Übertragungen keine Antwort empfangen wird, wird das Protokoll alsopen|filtered
markiert-b
(FTP bounce scan)<FTP relay host>
Eine interessante Funktion des FTP-Protokolls (RFC 959) unterstützt sogenannte Proxy-FTP-Verbindungen. Dies ermöglicht es einem Benutzer, sich mit einem FTP-Server zu verbinden und dann zu verlangen, dass Dateien an einen Drittserver geschickt werden. Eine solche Funktion ist in vielerlei Hinsicht missbrauchsanfällig, so dass die meisten Server sie nicht mehr unterstützen. Ein Missbrauch, der mit dieser Funktion möglich ist, besteht darin, den FTP-Server zu veranlassen, andere Hosts zu scannen.Bitten Sie den FTP-Server einfach, eine Datei nacheinander an jeden interessanten Port des Zielhosts zu senden. In der Fehlermeldung wird angegeben, ob der Port offen ist oder nicht. Dies ist ein guter Weg, um Firewalls zu umgehen, weil FTP-Server in Unternehmen oft so platziert sind, dass sie mehr Zugang zu anderen internen Hosts haben als jeder andere Internet-Host. Nmap unterstützt FTP-Bounce-Scans mit der Option -b
. Sie nimmt ein Argument der Form<username>
:<password>
@<server>
:<port>
entgegen.<Server>
ist der Name oder die IP-Adresse eines anfälligen FTP-Servers. Wie bei einer normalen URL können Sie auch<username>
:<password>
weglassen. In diesem Fall werden anonyme Anmeldedaten (Benutzer:anonymous
Passwort:-wwwuser@
) verwendet. Die Portnummer (und der vorangestellte Doppelpunkt) können auch weggelassen werden, in diesem Fall wird der Standard-FTP-Port (21) auf<server>
verwendet.
Diese Sicherheitslücke war 1997, als Nmap veröffentlicht wurde, weit verbreitet, wurde aber inzwischen weitgehend behoben. Anfällige Server gibt es immer noch, es lohnt sich also, einen Versuch zu wagen, wenn alles andere fehlschlägt. Wenn es Ihr Ziel ist, eine Firewall zu umgehen, scannen Sie das Zielnetzwerk nach Port 21 (oder sogar nach allen FTP-Diensten, wenn Sie alle Ports mit Versionserkennung scannen) und verwenden Sie das Skript ftp-bounce
NSE. Nmap wird Ihnen sagen, ob der Host verwundbar ist oder nicht. Wenn Sie nur versuchen, Ihre Spuren zu verwischen, brauchen Sie sich nicht auf Hosts im Zielnetz zu beschränken (und sollten es eigentlich auch nicht tun). Bevor Sie zufällige Internetadressen nach verwundbaren FTP-Servern durchsuchen, sollten Sie bedenken, dass die Systemadministratoren es möglicherweise nicht gutheißen, wenn Sie ihre Server auf diese Weise missbrauchen.