nmap Script (Hosts ist in meinem Netzwerk)

SimonS · 19. Mai 2022 um 16:49

Hallo Ralf
Ich kenne zwar pihole nicht, glaube aber kaum das 8.8.8.8 hier reingehört, wenn er als „DNS-Server“ interne Clientnamen auflösen soll. Alles was nicht intern ist muss der DNS Server zu 8.8.8.8 „forwarden“. Oder andersrum, wenn dein System wo nmap drauf läuft von 8.8.8.8 die DNS-Antworten bekommt, können auch keine interne Namen aufgelöst werden.

Mir fällt jetzt erst auf das wir hier im nmap „Script“ Beitrag sind, dort kannst du den Aufruf im Script nach belieben erweitern, oder geht es doch um das nmap „Modul“?

HarmonyFan · 20. Mai 2022 um 07:16

Moin SimonS,
Kekse es ist das Modul. 8.8.8.8 ist aber schon OK denn erstens benutzt PiHole den bei mir auch wenn es nicht selbst auslösen kann und zweitens wird Google kaum versuchen private Netzwerke aufzulösen.

Ich habe es jetzt im Modul geändert und alle Namen sind bei mir da.

Ralf

SimonS · 20. Mai 2022 um 15:05

Nun egal, was in einer Windows-AD Umgebung der DNS-Gau ist, funktioniert im Home-Netzwerk ja irgendwie

Modul aktualisiert

HarmonyFan · 22. Mai 2022 um 09:59

Hi SimonS,
ich bekomme regelmäßig den Fehler: „Modul konnte nicht starten, kontrolliere Einstellungen!“ und habe keine Idee woran es liegen könnte. nmap funktioniert und sammelt brav neue Geräte und es gibt kein Modul das auch noch nmap nutzen könnte.

Hast Du eine Idee?

Ralf

SimonS · 23. Mai 2022 um 17:20

Ich habe soeben das Debug log erweitert, so das unter RunScan(Execute) der genau aufgerufene String ausgegeben wird, und der nmap Befehl so manuell in der CLI getestet werden kann.

HarmonyFan · 24. Mai 2022 um 07:01

Habs mal installiert mal sehen was da kommt. Gestern hatte ich ein >>nmap.log an die Kommandozeile angehängt und das Ergebnis ist interessant.

Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-23 17:37 CEST
Initiating ARP Ping Scan at 17:37
Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-23 17:47 CEST
Initiating ARP Ping Scan at 17:47
Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-23 17:57 CEST
Initiating ARP Ping Scan at 17:57
Scanning 254 hosts [1 port/host]
Completed ARP Ping Scan at 17:57, 6.97s elapsed (254 total hosts)
Initiating Parallel DNS resolution of 254 hosts. at 17:57
Completed Parallel DNS resolution of 254 hosts. at 17:57, 0.00s elapsed

17:37 und 17:47 passiert nicht viel und 17:57 sieht es so aus wie erwartet. Wegen bullseye (IPS Grundlage) laufen weder nmap 7.7 noch 7.9 da die Bibliotheken nicht passen.

Edit: Ich habe jetzt mit der Kommandozeile aus dem Debug vielfach in der Shell gestartet und nur einmal einen besonderen Fall gehabt:

nmap: Target.cc:503: void Target::stopTimeOutClock(const timeval*): Assertion `htn.toclock_running == true' failed.                     
Abgebrochen (Speicherabzug geschrieben)

Ist wohl einer der von dir erwähnten Fehler. Kann man nix machen. Es kommt ja auch nicht sooo oft vor.

Ralf

SimonS · 25. Mai 2022 um 17:12

github.com/nmap/nmap

Nmap 7.8 Assertion failed: htn.toclock_running == true

opened 07:24PM - 27 Sep 19 UTC

closed 05:34PM - 27 Apr 20 UTC

lpesyna

I am now getting this error when I attempt to do a full discovery sweep on our C…lass C systems. Using a local Windows 7 PC, no router hop, using syn scans as some devices do not respond to ping. This is new to us in version 7.8, We have used these routines in version 7.7, 7.6, 6.x, and prior. Assertion failed: htn.toclock_running == true, file ..\Target.cc, line 503 The command for a specific instance is as below. "C:\\Program Files (x86)\\Nmap\\nmap.exe" -v -T2 -p21,23,80 -n -oA c:\\uploads\\local -Pn --exclude 10.11.11.234,10.11.11.254 10.11.11.234/24 By trial an error I have found the threshold for triggering the error is a target range on or around 104 IP addresses. Setting --max-parallelism to 10 (random choice) prevents the error in the situations I tried. Of course, I am unable to reproduce this in our lab environment, it only has occurred in our production subnets,

Das scheint durch mehrere Versionen zu gehen,
also unter Debian10(Buster) hatte ich das Problem nie.
Unter Debian11(Bullseye) hatte ich es auf einem LXC Container.
Am neu installierten Raspian11 ist das Problem bis dato auch nie aufgetreten.

Vielleicht hilft das im Beitrag erwähnte:
--max-parallelism 100
…dann könnte ich das als Würgaround einbauen…

HarmonyFan · 26. Mai 2022 um 06:37

Moin,
ich versuchs mal. Ich habe mich aktuell so beholfen das ich die Fehlermeldung deaktiviert und dafür einen stündlichen WatchDog aktivierte.

Edit: Hat leider nicht geholfen. Mit meinem WatchDog kann ich aber auch ganz gut leben. Danke für die Mühe.

Ralf

HarmonyFan · 22. März 2023 um 09:38

Hallo SimonS,
ich habe das Update letzt Update installiert und sehr oft bekomme ich

22.03.2023, 10:30:00 |            RunScan() | Error: simplexml_load_file: /tmp/192_168_178_0.xml.xml

die Datei wurde auf jeden Fall erstellt aber Du versuchst vermutlich zu früh die Datei zu lesen denn bei Fehler steht in der Datei nur

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE nmaprun>
<?xml-stylesheet href="file:///usr/bin/../share/nmap/nmap.xsl" type="text/xsl"?>
<!-- Nmap 7.80 scan initiated Wed Mar 22 10:35:40 2023 as: /usr/bin/nmap -v -sn -&#45;dns-servers 192.168.178.2 -oX /tmp/192_168_178_0.xml.xml 192.168.178.0/24 -->
<nmaprun scanner="nmap" args="/usr/bin/nmap -v -sn -&#45;dns-servers 192.168.178.2 -oX /tmp/192_168_178_0.xml.xml 192.168.178.0/24" start="1679477740" startstr="Wed Mar 22 10:35:40 2023" version="7.80" xmloutputversion="1.04">
<verbose level="1"/>
<debugging level="0"/>
<taskbegin task="ARP Ping Scan" time="1679477740"/>

Ralf

SimonS · 22. März 2023 um 18:50

Kannst du das Update 230322 testen?

HarmonyFan · 22. März 2023 um 19:48

Version von eben gleiches verhalten. Mal geht es und mal gibt es den loadxml Fehler.

Ralf

SimonS · 22. März 2023 um 20:40

Hmm, ich kann das leider nicht nachbilden.
shell_exec Aufruf/Verhalten habe ich die letzten Versionen nie mehr geändert.
Die Änderung war nur die Unterstützung von Eingaben außerhalb des CIDR Formats „192.168.0.0/24“, also zb. „192.168.0.10 192.168.0.100-200“.
Der Fehler der mir auffiel war die doppelte .extension (xml.xml)

Ich habe hier mittlerweile 10 nmap Instanzen parrallel und niemals dieses Ergebniss.
Im Gegenteil wenn ich zuviele nmap Abfragen auf einem Remotehost gleichzeitig starte gibt es von shell_exec einen Timeout, und die Modulinsatnz geht in inaktiv Status.
Im Moment etwas ratlos wie ich das von dir beschriebene Ergebniss ereichen kann…

HarmonyFan · 23. März 2023 um 08:09

Hi,
bin einen Schritt weiter. Ich habe nmap mal in der shell gestartet und oft mit diesem Ergebnis:

root@Symcon-6:/# /usr/bin/nmap -v -sn 192.168.178.0/24 --dns-servers 192.168.178.2 -oX /tmp/192_168_178_0-24.xml          
Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-23 09:05 CET                                                           
Initiating ARP Ping Scan at 09:05                                                                                         
Scanning 254 hosts [1 port/host]                                                                                          
nmap: Target.cc:503: void Target::stopTimeOutClock(const timeval*): Assertion `htn.toclock_running == true' failed.       
Abgebrochen (Speicherabzug geschrieben)

von 4 Starts 3mal dieses Ergebnis und beim 4ten Mal dann das gewünschte Ergebnis. Weiß noch nicht warum.

Ich habe jetzt statt nmap 7.8 nmap 7.9.3 installiert und das scheint besser zu laufen. Ich schalte die Meldung jetzt mal wieder ein dann bekomme ich mit wenn es mal wieder nicht klappt.

Ralf

Axel37 · 27. April 2023 um 09:02

würde nmap denn auch auf einer Symbox laufen ?

HarmonyFan · 27. April 2023 um 09:41

Hi,
laufen vielleicht schon aber man wird es nicht installieren können schätze ich.

Ralf