A volte quando eseguo un controllo di sicurezza esterno, corro in host con le seguenti restrizioni / configurazioni:
- Tutto il traffico ICMP è bloccato
- Un IDS o un dispositivo restituisce tutte le porte filtrate durante la scansione con nmap, utilizzando le scansioni sT, sN e sS.
- Anche in esecuzione a -T0 o -T1, qualsiasi porta viene restituita come filtrata. Scansionando una singola porta, ad esempio -p 65544 prima di eseguire una scansione completa, mostralo come filtrato anche.
Sembra che solo una percentuale molto piccola di host sia effettivamente attiva, ovvero che una porta sia accessibile sul server.
Il problema con IDS che riporta molte porte come "filtrato" per un host significa che nmap lo considera live.
A volte mi imbatto in questo problema con gamme molto grandi. Determinare la quantità di host dal vivo può far risparmiare tempo nella valutazione, quindi sono alla ricerca di un modo per automatizzare in qualche modo.
Se l'unica risposta a utilizzare solo host che hanno almeno una porta come "aperta", c'è un modo per scriptare nmap per ignorare le porte considerate "filtrate"?
Dovrei anche notare che ARP non è un'opzione qui perché si tratta di una scansione esterna su Internet, e non vi è alcun punto di pivot.