用Nmap扫描活主机时确定假阳性
在大型网络上进行漏洞评估时,通常的做法是确定网络上的哪些主机处于活动状态。
这可以通过各种方式进行。据我所读,做一些ICMP扫描是很好的,也许使用带有发现组件的漏洞扫描器,或者做一些TCP/UDP扫描来查找没有响应或阻塞ICMP通信量的主机。
在进行TCP或UDP扫描以确定主机是否活着时,我遇到了一个问题。
考虑一个由1000台主机组成的示例网络。也许50将响应ICMP的流量,可以被认为是现场直播。有时,当进行TCP/UDP扫描时,即使没有检测到端口,nmap也会认为每个主机都是活动的。
这是通过使用带有nmap的-PN交换机来实现的,这是必要的,因为否则主机似乎处于关闭状态,而且我确实发现其他具有tcp端口的活动主机也是这样打开的。不过,据报道,大多数其他主机都是在现场直播的,而事实并非如此。
在使用TCP或UDP扫描时,是否有方法为活动主机清除假阳性(即报告为up但没有打开端口的主机)?
回答 5
Security用户
发布于 2013-12-15 16:00:04
我通常对此所做的事情取决于扫描的时间。如果我在寻找基本nmap (ICMP +端口80 ACK)之外的相对快速的发现,我会用一个常见TCP端口的列表进行发现扫描,比如
nmap -sP -PS 21,22,23,53,80,443,500,3389 输入范围
如果我有更多的时间,我将添加一个没有平扫描的顶部-1000端口,只标记一个,如果他们至少有一个端口打开。
最后,如果我有很多时间,而且范围不太大,我将尝试一个没有ping的65k TCP扫描。这可能需要很长时间才能完成,所以只有当您需要确保您已经拥有所有内容时,我还建议使用nmap的定时标志来加快进程(例如--最大rtt-超时,-最大-重试,-最大-扫描-延迟)
Security用户
发布于 2019-05-31 06:37:59
您可以使用标志-PE,它执行ICMP回送作为示例:
nmap -sn -n -PE 192.168.1.1-255
或者为了更干净的结果
nmap -sn -n -PE 192.168.1.1-255区grep报告
Security用户
发布于 2013-11-14 20:32:41
如何在nmap中的非本地网络上清除假阳性?港口。如果目标有端口,它就是实时的。如果不是,那是未知的。
ARP扫描是清除假阳性的最佳方法,您可能需要在非本地网络上建立一个支点来进行扫描以利用这一点。
否则,如果可能的话,您可能需要执行数据包捕获来查看主机是否正在生成通信量。但是,这必须是正确的情况才能奏效。
https://security.stackexchange.com/questions/45448
复制相似问题
腾讯云开发者
