web-dev-qa-db-ja.com

nmapでネットワークをスキャンするときのいくつかのインスタントレッドフラグとは

Nmap外部ネットワークからスキャンする場合、どのオープンポートがインスタントレッドフラグになる必要がありますか?たとえば、オープンインターネットにいてwww.somewebsite.comをスキャンした場合、_port 22_、他にどのようなオープンポートを監視する必要がありますか?

9
E.N.D

GameOverのコメントをエコーし​​てさらに詳しく説明するために、ポートが開いていることを検出することは興味深いことですが、すぐに「レッドフラグ」であるとは思いません。おそらく、より優れたアプローチは、サービス/バージョンスキャンを実行するか、ターゲットに対してデフォルトのNSE(Nmapスクリプトエンジン)スクリプトを起動する-sVまたは-sCフラグを指定してNmapを実行することです。あなたが興味を持っていると思われるポート(そうするための適切な権限がある場合)。

たとえば、ポート21が開いていることを発見したとします。これは興味深いものですが、背後で実行されているサービスを列挙できる場合にのみ、潜在的な攻撃ベクトルになります。特定のサービスを見つけたら、CVEの検索を開始し、それに関連する脆弱性があるかどうかをよりよく理解できます。スクリプトスキャンを実行すると、NSEは問題の特定のポートをテストし、その結果を出力します。これには、(ポート21の)読み取り/書き込みアクセスを許可する匿名FTPログインの誤った構成が含まれる場合があります。

これで、ポート21の背後で実行されているサービスをさらに列挙した後、潜在的な攻撃ベクトルが発生します。

最後のメモとして、特定の種類のマルウェアが使用の履歴を持っているいくつかの既知のポートがありますが、これらは単純に誤検知になる可能性もありますTCPポート31337からSSHクライアントを実行します。このポートが開いていると表示され、すぐにバックオリフィスと考えるかもしれません。代わりに、通常とは異なるポートを使用してSSHを実行しています。


出典:

7
waymobetta

スキャンでポートexistsが赤いフラグを立てるのに十分ではないからといって。

  1. 一部のファイアウォールまたはその他の保護メカニズム(ハニーポット)は、ポートが稼働していないときに稼働しているように見せます。
  2. すべてのポートが一般的なサービスを実行するわけではありません
  3. あるネットワークで疑わしいと思われるポートは、別のネットワークでは適切にロックダウンされる可能性があります
  4. とにかくスキャンでポップアップするすべてのポートを調査する必要があるので、何がポップアップするかは問題ではありません

重要なのは、すべてのポートを他のポートと同じくらい活発に処理するための系統的なプロセスが必要であるため、特に1つのポートに興奮することです。あまり役に立ちません。

3
schroeder

あなたの質問の意図に答えてみます。あなたの質問の意図が:

外部スキャンで開いているポートを発見した場合、それに関連する一般的なサービスがあると想定して、調査および/または対処するための私の最優先事項は何ですか?

実際のライブデータから始めましょう。ここにSANSストームセンターへのリンクがあります https://isc.sans.edu/dashboard.html

それらの1つはポートによる攻撃トラフィックです。つまり、これらのポート/サービスを現在追跡しているハッカーのライブ確認です。私はそれを非常に真剣に受け止めるべきだと思います。 21/22/23がリストのトップであることがわかります。

また、NMAPスキャンを列挙するときは、ホストが何であるかも確認することをお勧めします。必ず「OSで最高のゲスト」を確認してください。それが明らかにWebカメラである場合、それはWindows 10マシンよりもはるかにリスクが高いと言えます。そうではないかもしれませんが、インターネットに公開された「実際の」Webカメラは「所有」されていることで有名です。 (Corpプリンターのような)多機能デバイスもこれで有名です。

https://www.shodan.io/search?query=basic+realm%3D%22camera%22+NOT+401

また、このネットワークには何がありますか?それもこの答えに影響します。ホームネットワークですか?その場合、おそらく何も公開されるべきではありません。通常、ホームデバイスはクライアントとして機能し、着信接続を要求する必要はありません。そのため、その場合、開いているポートを確認することが懸念されます。

また、バックドアの可能性があるため、非常に高いポートが問題になる可能性があります。ハッカーは、それらをポート50505のようなものにして隠そうとします。これは、nmapのフルスキャンで検出されます。これらのポートは「エフェメラル」ポートと呼ばれ、ロードバランサーなど、複数のポートを必要とする多くのサービスで使用できます。

0
bashCypher