大規模なネットワークで脆弱性評価を行う場合、ネットワーク上のどのホストが稼働しているかを判別することは一般的な慣習のようです。
これはさまざまな方法で行うことができます。私が読んだことから、いくつかのICMPスキャンを実行し、おそらく検出コンポーネントを備えた脆弱性スキャナーを使用し、おそらくいくつかのTCP/UDPスキャンを実行して、ICMPトラフィックに応答またはブロックしないホストを見つけることができます。
TCPまたはUDPスキャンを実行してホストが生きているかどうかを判断するときに問題が発生しました。
1000ホストのサンプルネットワークを考えます。おそらく50はICMPトラフィックに応答し、ライブと見なすことができます。 TCP/UDPスキャンを実行すると、ポートが検出されない場合でも、すべてのホストがnmapによってライブであると見なされることがあります。
これは、nmapで-PNスイッチを使用することによるものです。そうしないと、ホストがダウンしているように見え、tcpポートがこのように開いている追加のライブホストが見つかります。これが当てはまらない場合、他のほとんどのホストもライブであると報告されるだけです。
TCPまたはUDPスキャンを使用している場合、ライブホストの誤検知(つまり、稼働していると報告されているが、ポートが開いていないホスト)を除外する方法はありますか?
これに対して私が通常行うことは、スキャンに費やした時間によって異なります。基本的なnmap(ICMP +ポート80 ACK)を超えた比較的高速なディスカバリーを探している場合、一般的なTCPポートのようなもののリストを使用してディスカバリースキャンを実行します
nmap -sP -PS 21,22,23,53,80,443,500,3389 [入力範囲]
もう少し時間があれば、上位1000ポートのpingスキャンを追加し、少なくとも1つのポートが開いている場合にのみ、そのポートをアップとしてマークします。
最後に、時間が長くて範囲が広すぎない場合は、65k TCP pingなしでスキャンします。これには本当に時間がかかる場合があります完了する時間なので、すべてを確実に入手する必要がある場合にのみ実行してください。また、nmapのタイミングフラグを使用してプロセスを高速化することをお勧めします(例--max-rtt-timeout、-max-retries)。 、-max-scan-delay)
例として、ICMPエコーを実行するフラグ-PEを使用できます。
nmap -sn -n -PE 192.168.1.1-255
またはよりきれいな結果のために
nmap -sn -n -PE 192.168.1.1-255 | grepレポート|カット-d "" -f5
この状況は、しばらくしてからも続きます。私はしばらくこれを経験しており、スキャンのデバッグをオンにして(目的のレベルまでdを繰り返し押して、目的のレベルに下げるためにDを押す)、レベル3に戻して、舞台裏で何が起こっているかを確認する必要があります。
これらのいずれもホストで稼働していない場合、ポート21、22、80、8080を取得できます。
Nmapブックに従って、スキャンをよりステルスにする方法を使用する必要があります。
https://nmap.org/book/firewall-Subversion.html をフォローすると、nmapサイトの前後の記事から、使用可能な手法を理解できます。
Nmapサイトのリストから、私は以下を使用して良好な結果を得ました。
--randomize-hosts
--scan-delay 1075ms
--source-port 53
しかし、これらは優れたファイアウォール/ IPSによって検出され、他のポートと同じように開いたポートを提供し始めたので、完全ではありません。
私ve tested SYN scan on specific hosts -PS80,443,3389 and those get flagged quickly. I
veはまた、-PA80などの特定のホストでACKスキャンを実行し、同じことがすぐにフラグが立てられます。 -PU53や-PU161などのUDP固有のスキャンで運が良かった。
うまくいったこととこれはスキャンのタイミングを下げるために多くの時間を必要とするでしょう、手動でminrttやmaxrttなどを実行することを枯渇させることができます。 T0。
また、うまく機能するのは、スキャンターゲットを5つまたは10つのホストなど、より少ないホストに分割することです。
結論、試行
nmap -sn -T0 -PU53 --scan-delay 1075ms --source-port 53 10.10.10.1-3
Nmapの非ローカルネットワークの誤検知をどのように排除しますか?ポート。ターゲットにポートがある場合、それはライブです。そうでない場合は不明です。
ARPスキャンは誤検知を排除するのに最適であり、スキャンを実行するために非ローカルネットワーク上にピボットポイントが必要になる場合があります。
そうでない場合、可能であれば、パケットキャプチャを実行して、ホストがトラフィックを生成しているかどうかを確認する必要があります。しかし、これが機能するには適切な状況でなければなりません。