Determinazione degli host live oltre un firewall restrittivo con nmap

4

A volte quando eseguo un controllo di sicurezza esterno, corro in host con le seguenti restrizioni / configurazioni:

  • Tutto il traffico ICMP è bloccato
  • Un IDS o un dispositivo restituisce tutte le porte filtrate durante la scansione con nmap, utilizzando le scansioni sT, sN e sS.
  • Anche in esecuzione a -T0 o -T1, qualsiasi porta viene restituita come filtrata. Scansionando una singola porta, ad esempio -p 65544 prima di eseguire una scansione completa, mostralo come filtrato anche.

Sembra che solo una percentuale molto piccola di host sia effettivamente attiva, ovvero che una porta sia accessibile sul server.

Il problema con IDS che riporta molte porte come "filtrato" per un host significa che nmap lo considera live.

A volte mi imbatto in questo problema con gamme molto grandi. Determinare la quantità di host dal vivo può far risparmiare tempo nella valutazione, quindi sono alla ricerca di un modo per automatizzare in qualche modo.

Se l'unica risposta a utilizzare solo host che hanno almeno una porta come "aperta", c'è un modo per scriptare nmap per ignorare le porte considerate "filtrate"?

Dovrei anche notare che ARP non è un'opzione qui perché si tratta di una scansione esterna su Internet, e non vi è alcun punto di pivot.

    
posta Sonny Ordell 22.11.2013 - 02:24
fonte

2 risposte

2

Hai provato a usare l'opzione --open in nmap per mostrare solo le porte aperte? Potrebbe valere la pena di leggere la pagina di manuale di output manpage .

    
risposta data 22.11.2013 - 11:13
fonte
2

"filtrato" significa che Nmap non ha ricevuto alcuna risposta a un probe. Una porta filtrata non verrà mai utilizzata come prova che un host è attivo / attivo.

Nmap usa un set decente di sonde di default per determinare "liveness", ma se vuoi cambiarle, puoi usare le opzioni che iniziano con -P .

    
risposta data 24.11.2013 - 20:51
fonte

Leggi altre domande sui tag