Security Forum Usenet Archiv Mailing List Archive  
IDS Firewall Honeypot Honeynet Web Security Linux Security Microsoft Security Virus - Wurm Backdoors - Trojaner Links
I-EYE Security Exploits Security Dokumentationen Security Online Scanner Security Scanner Security Tools Trojaner Portliste Impressum

AMAP Dokumentation






AMAP ist ein Programm das in der Lage ist Dienste zu identifizieren auch wenn diese nicht an den Standard Ports laufen. Ein Administrator der auch nur Einbisschen beim Verstand ist wird bestimmte Dienste an anderen Ports laufen lassen. Zum Beispiel läuft SSH Dienst standardmäßig am Port 22 da aber außer den Administrator keiner auf SSH zugreifen darf wird er den Dienst nach Hinten verlegen zum Beispiel auf Port 65000. Das gilt natürlich nicht für alle Dienste den HTTP Server wird man dort lassen wo er ist am Port 80 bei FTP Server ist es unterschiedlich wenn dieser Dienst auch von anderen Usern genutzt wird läst man in am Standart Port 21 laufen. Es ist natürlich möglich den Dienst selbst zu identifizieren in dem man den Banner des Dienstes betrachtet, aber das kostet Zeit und ist unsinnig wenn man ein Programm wie AMAP besitzt.

Als erstes wird man sich die neueste AMAP Version herunterladen, entpacken, kompilieren und installieren.

wget http://www.thc.org/download.php?t=r&d=amap-4.3.tar.gz
tar fvxz amap-4.3.tar.gz
in den Verzeichnis wechseln in den die Daten entpackt wurden (z.B. amap-4.3)
./configure
make
make install

Wenn wir jetzt in der Konsole amap ausführen, bekommen wir eine Auflistung aller Optionen die AMAP beherrscht.
amap v4.3 (c) 2003 by van Hauser and DJ RevMoon www.thc.org
Syntax: amap [-A|-B|-P] [-1buSRHUdqv] [[-m] -o ] [-D ] [-t/-T sec] [-c cons] [-C retries] [-p proto] [-i ] [target port [port] ...]
Modes:
 -A     Map applications: send triggers and analyse responses (default)
 -B     Just grab banners, do not send triggers
 -P     No banner or application stuff - be a (full connect) port scanner!
Options:
 -1     Only send triggers to a port until 1st identification. Speeeeed!
 -b     Print ascii banner of responses
 -i FILE  Nmap machine readable outputfile to read ports from
 -u     Ports specified on commandline are UDP (default is TCP)
 -S     Do NOT look behind an SSL port
 -R     Do NOT identify RPC service
 -H     Do NOT send application triggers marked as potentially harmful
 -U     Do NOT dump unrecognised responses (better for scripting)
 -d     Dump all responses
 -v     Verbose mode, use twice (or more!) for debug (not recommended :-)
 -q     Do not report closed ports, and do not print them as unidentified
 -o FILE  Write output to file FILE
 -m     Make output to file (-o) machine-readable (colon-separated list)
 -c CONS  Amount of parallel connections to make (default 32, max 256)
 -C RETRIES Number of reconnects on connect timeouts (see -T) (default 3)
 -T SEC   Connect timeout on connection attempts in seconds (default 5)
 -t SEC   Response wait timeout in seconds (default 5)
 -p PROTO  Only send triggers for this protocol (e.g. ftp)
 -D FILE  Read from Definitions FILE[.trig|.resp|.rpc] instead of default
 -h     Print this shit
 TARGET PORT  The target address and port(s) to scan (additional to -i)
amap is a tool to identify application protocols on target ports.

Die Optionen erklären sich von selbst, wenn man zum Beispiel ein Portbereich scannen will und dabei die Banner sehen, gibt man folgendes ein.
amap -b -q 192.168.0.8 1-1024
amap v4.3 (www.thc.org) started at 2003-10-18 00:48:53 - APPLICATION MAP mode

Protocol on 192.168.0.8:22/tcp matches ssh - banner: SSH-1.99-OpenSSH_3.0.2p1\nProtocol mismatch.\n
Protocol on 192.168.0.8:22/tcp matches ssh-openssh - banner: SSH-1.99-OpenSSH_3.0.2p1\nProtocol mismatch.\n
Protocol on 192.168.0.8:37/tcp matches time - banner: U
Protocol on 192.168.0.8:80/tcp matches http - banner: HTTP/1.1 200 OK\r\nDate Fri, 17 Oct 2003 224853 GMT\r\nServer Apache/1.3.23 (Unix) PHP/4.1.0 mod_perl/1.26\r\nConnection close\r\nContent-Type text/html\r\n\r\n\r\n\r\n