私はネットワークエンジニアではなく、この分野での専門知識は低いです。
nmap 7.70を_nmap -sL
_とともに使用してローカルネットワーク[VPNとファイアウォールの背後]にある既知のデバイスのIPアドレスを検索しているときに、認識できない2つのエントリに気付きました。
上司は、賢明と見なされた場合に監視および禁止できるように、MACアドレスを特定して報告するようにアドバイスしました。
オプション_-sn
? (10.0.0.xxx) at <incomplete> on wlp0xxx [...] ? (10.0.0.yyy) at <incomplete> on wlp0xxx
として記述されたMACアドレスで表示されました
[このサイトファミリーの類似したエントリをかなりの数読んだことに基づく]不完全なMACアドレスエントリについての私の理解は、問題のホストが送信されたarpパケットに応答しなかったことを意味します。また、arpはキャッシュされた情報に関係し、必ずしもcurrentネットワークアクティビティを反映しているわけではないことを認識しています。 [また:man nmapを読んだことがありますが、オプションに関するいくつかの重要な情報を理解できていないと確信しています]
それは私には十分明らかです。しかし、私がはっきりしていないのは、セキュリティの観点からこれらの認識されない応答しないホストについて心配する必要があるかどうかです。
したがって、私の質問には2つの主要な要素があります。
一部のホスト[この場合、不完全なMACアドレスを持つ認識されないホスト]が_nmap -sL
_ではなく_nmap -sn
_で表示されるのはなぜですか。
これらのホストは潜在的な攻撃または攻撃者を表していますか?もしそうなら、MACアドレスを知らなくてもどのように禁止できますか?
問題のネットワークは主にワイヤレスです。有線イーサネットに接続されたすべてのデバイスが考慮されます
参考までに:次のエントリなどを確認しましたが、質問に対する完全な回答を識別できませんでした。
Nmapの-sL
オプションは "リストスキャン" であり、実際にはネットワークスキャンではありません。目的は、存在するかプローブに応答するかに関係なく、入力として指定されたターゲットを一覧表示することです。これはあまり役に立たないように聞こえるかもしれませんが、DNSレコードに関する情報を見つけたいときに便利です。
Nmapスキャンの最初のフェーズはDNSの順方向検索です。入力としてドメイン名を指定した場合、Nmapは対応するIPアドレスを検索します。その名前、および-sL
オプションを使用すると、名前とともにそのアドレスが出力されます。次に、Nmapは通常、アドレスが応答するかどうかを確認しますが、-sL
そのステップをスキップし、DNS逆引き参照に直接移動します。このステップでは、Nmapは、IPアドレスに対応するレコードに対してPTR
要求を発行して、そのアドレスの正規のDNS名を検出できます。この名前は、-sL
の出力でも報告されます。「nmap.org」に対して実行された例を次に示します。
nmap -sL nmap.org
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-18 21:28 CDT
Nmap scan report for nmap.org (45.33.49.119)
Other addresses for nmap.org (not scanned): 2600:3c01::f03c:91ff:fe98:ff4e
rDNS record for 45.33.49.119: ack.nmap.org
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds
したがって、ターゲットセットに何もない場合でも、ターゲットセット内のすべてのアドレスの出力セクションが表示されることが期待できます。アドレスに関連付けられた名前(「rDNSレコード」)が表示されている場合は、DNSサーバーがそのアドレスに対応する名前を認識していることを意味します。 DHCPとDNSが統合されているネットワークでは、これは、その名前のマシンが接続され、そのアドレスのDHCPリースを取得したことを意味する可能性があります。 Nmapのホスト検出(nmap -sn
)でターゲットが「アップ」として表示されない場合、特にキャッシュに不完全なARPレコードが表示されている場合は、ターゲットが表示されない可能性があります。
これらのマシンを禁止する方法に関する残りの質問に直接答えるには、DHCPログを調べて、最後に接続されたときのMACアドレスの記録があるかどうかを確認します。 rDNSレコードがある場合は、DHCPサーバーでアクションを実行して、その名前のリースを再度要求したことを検出できる場合がありますが、MACアドレスよりも簡単にスプーフィングされます。