ITzoo.de - Admin-FAQ

Mit nmap kann man IPs und Netze nach offenen Services scannen.

amap kann den Fingerprint der Dienste analysieren

Beispiel:

root@nb:/etc# amap google.de 80
amap v5.2 (www.thc.org/thc-amap) started at 2008-08-28 14:17:28 - MAPPING mode
Protocol on 66.249.93.104:80/tcp matches http
Unidentified ports: none.
amap v5.2 finished at 2008-08-28 14:17:37

Diesen Server kennt amap nicht. Wenn man sich aber die Debug-Ausgabe ansieht findet man "Server: GFE".Somit kann man mit relativ wenig Aufwand den Server bestimmen.

root@nb:/etc# amap -d google.de 80
amap v5.2 (www.thc.org/thc-amap) started at 2008-08-28 14:17:43 - MAPPING mode
Protocol on 72.14.221.104:80/tcp matches http
Dump of identified response from 72.14.221.104:80/tcp (by trigger http-proxy-ident):
0000:  4854 5450 2f31 2e30 2034 3030 2042 6164    [ HTTP/1.0 400 Bad ]
0010:  2052 6571 7565 7374 0d0a 4461 7465 3a20    [  Request..Date:  ]
0020:  5468 752c 2032 3820 4175 6720 3230 3038    [ Thu, 28 Aug 2008 ]
0030:  2031 323a 3137 3a34 3320 474d 540d 0a43    [  12:17:43 GMT..C ]
0040:  6f6e 7465 6e74 2d54 7970 653a 2074 6578    [ ontent-Type: tex ]
0050:  742f 6874 6d6c 3b20 6368 6172 7365 743d    [ t/html; charset= ]
0060:  5554 462d 380d 0a53 6572 7665 723a 2047    [ UTF-8..Server: G ]
0070:  4645 2f31 2e33 0d0a 436f 6e6e 6563 7469    [ FE/1.3..Connecti ]
0080:  6f6e 3a20 436c 6f73 650d 0a43 6f6e 7465    [ on: Close..Conte ]
0090:  6e74 2d4c 656e 6774 683a 2033 3334 330d    [ nt-Length: 3343. ]
00a0:  0a0d 0a0a 0a3c 6874 6d6c 3e3c 6865 6164    [ .....<html><head ]

amap-Quelle:

http://freeworld.thc.org/thc-amap/

Download Sourcen:

amap-5.2.tar.gz

Installation:

- Compiler-Tools installieren

- libcurl-openssl-dev installieren

- ./configure && make && make install im entpackten Source-Verzeichnis

Update der Signaturen:

3 Files ins definierte Config-Verzeichnis laden ( Default: /usr/local/etc/, bei mir /etc )

appdefs.trig
appdefs.resp
appdefs.rpc