Ich hab’s nicht früher gesehen und eigentlich ist die Antwort von Fyodor auf den 24C3-Vortrag von Fabs schon einen Monat alt, trotzdem muss das noch hier ins Blog rein.
Fyodor beschwert sich (meines Erachtens zurecht) ein wenig über das Nmap-Bashing und kritisiert die Methodik von Fabs. Im Detail hält er Portbunny für zu aggressiv wenn innerhalb von 15 Sekunden ein kompletter Rechner gescannt wird (das sind 4369 SYN-Pakete in einer Sekunde und nach meiner Erfahrung schießt man damit einige Systeme wie z.B. SPS recht schnell aus dem Netz). Außerdem vermisst er wichtige Angaben, z.B. mit welchen Parametern Nmap aufgerufen wurde (ich vermute ja die Standardoptionen) und welche Nmap-Version verwendet wurde (vermutlich die aktuelle). Ein anderes Problem ist die Korrektheit der Scanergebnisse. Nmap verwendet einige Gedanken darauf, möglicherweise verlorene Pakete neu zu senden. Das vermisst Fyodor bei Portbunny.
Was mir am meisten Kopfschmerzen bei einem Scanner wie Portbunny bereitet ist jedoch, den Scanner komplett im Kernel laufen zu lassen. Fyodor spricht von „bloated Kernel“, ich persönlich mache mir mehr sorgen um die Stabilität. Einen Prozess kann ich einfach abschießen, kill -9 und Ruhe ist.
Interessant ist, dass es kaum neutrale Statistiken und Auswertungen zur Qualität von Portscannern gibt. Das einzige, das ich gefunden habe und das auch Fyodor erwähnt ist die Analyse von Computerdefense. Hier werden Nmap, Unicornscan und Portbunny gegenübergestellt und Nmap schneidet in allen Kategorien eigentlich überzeugend gut ab. Seine Zusammenfassung bestätigt die nackten Zahlen.
Ach ja, etwas das Portbunny besser macht als Nmap hat Fyodor dann doch noch gefunden: für Portbunny kann man bereits T-Shirts kaufen.
Nachtrag:
Hier ist noch ein Test, da hat Nmap auch mal verloren.