[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: nmap -sP meldet nicht alle Hosts

Am 08.12.2011 22:34, schrieb Heiko Schlittermann:
> SchmiTTT <cv.schmitt@googlemail.com> (Do 08 Dez 2011 01:44:49
> CET):
>> Am 2011-12-08 00:29, schrieb Heiko Schlittermann:
>>> Thomas Schöpfer<t.schoepfer@tmx.ch>  (Mi 07 Dez 2011 23:40:40
>>> CET):
>>>> Hallo Liste
>>>> 
>>>> Bisher bin ich davon ausgegangen, dass zb. nmap -sP
>>>> 192.168.0.1-254 nichts anderes macht als 254 mal ping
>>>> aufzurufen. Ich nutze das jeweils um schnell die IP-Adresse
>>>> von Geräten zu erfahren, die ihre Adresse über DHCP
>>>> bekommen.
>>>> 
>>>> Heute ist mir aufgefallen, dass das nicht zuverlässig
>>>> funktioniert. nmap -sP als user findet einige, aber nicht
>>>> alle hosts. nmap -sP als root findet weniger hosts, aber
>>>> manchmal hosts, die als user nicht angezeigt wurden.
>>> Ich denke, daß das mit dem User nicht viel zu tun hat,
>>> gleichwohl die ARP-Requests leicht unterschiedlich aussehen.
>>> 
>>> Da NMAP sich mit einem ARP-Requst je Ziel begnügt (im lokalen
>>> Netz), halte ich es für möglich, daß bei Dir da ARP Requests
>>> oder Antworten verloren gehen.
>>> 
>>> Hilft die Option --send-ip weiter? Oder gucke auch mal nach
>>> --max-rate, vielleicht bringt das auch eine reproduzierbare
>>> Veränderung.
>>> 

--send-ip und/oder --max-rate 1 brachte keine Verbesserung.
Hab auch mal versucht, das Interface mit -e eth0 festzulegen.
Das bringt auch keine Veränderung.

>> man nmap sagt auf Englisch : "- sP: ping scan  -  go no further
>> than determining if host is online."

Genau das erwarte ich. Eine Liste aller Hosts, die auf ping antworten.

> Ja, das steht in der Kurz-Referenz. Für den OP interessanter halte
> ich den Satz, den man etwas weiter später im Manual findet (gegen
> Zeile 372, je nach Terminalbreite)
> 
> a connect call) to ports 80 and 443 on the target. When a 
> privileged user tries to scan targets on a local ethernet network, 
> ARP requests are used unless --send-ip was specified.
> 
> ... und er probiert es ja in einem lokalen Netz. Unterstelle ich.
> Hat er leider nicht verraten.

Ich teste in einem 192.168.0.0/24er Netz. Der Host, von dem aus
gescannt wird, hat die Adresse 192.168.0.251, läuft mit Debian
Version 6.0.3.

Da steht auch noch:
  An exception to this is that an ARP scan is used for any targets
  which are on a local ethernet network.

und weiter unten:
  Even if different ping types (such as -PE or -PS) are specified,
  Nmap uses ARP instead for any of the targets which are on the
  same LAN. If you absolutely don't want to do an ARP scan,
  specify --send-ip.

Bewirkt nur nichts. Es sieht so aus, dass --send-ip ignoriert wird.

>> Heisst also, nur was online ist, wird angezeigt ! was gerade
>> offline ist, wird nicht angezeigt bei -sP

Warum werden dann Hosts, von denen ich weis, dass sie online sind,
weil die sich pingen lassen, nicht aufgelistet?

> Schön, und wie erklärst Du dem OP, daß er mehr/andere Hosts sieht,
> wenn er root ist bzw. daß bei aufeinanderfolgenden Versuchen (ich
> unterstelle mal, daß sich in der Zwischenzeit nichts im Netz
> geändert hat - insbesondere keine Hosts dazu gekommen oder
> weggegangen sind))?

Zumindest 9 Adressen sind in dem Netzwerk statisch vergeben, permanent
online, und antworten jederzeit auf "ping <ip-adresse>" vom selben Host
aus, wo ich auch nmap starte.
Reply to: