Prima di tutto, non penso che Nmap ti mostri risultati "sbagliati". Stai ottenendo risultati diversi come previsto, perché stai facendo scansioni diverse , anche se non lo sai. Usare Nmap non è come usare una combinazione di opzioni magiche che ti darà subito un risultato definitivo. Esistono diverse tecniche perché diversi dispositivi nella rete si comportano in modo diverso (router, firewall, sistemi operativi diversi ...) e inoltre potresti voler essere più o meno "invisibili". Qui, la bellezza di Nmap è la sua flessibilità, che ti consente di eseguire molte scansioni diverse per trovare quello che ti serve. Immaginalo come uno strumento di mappatura che ti darà risultati X con alcune opzioni e risultati Z con altri. Quindi, è il tuo cervello che dovrebbe interpretarli e giungere a conclusioni. Hai eseguito solo il comando di base con tutte le opzioni predefinite e c'è molto altro da esplorare.
[1] stai facendo solo una scansione ping, che per impostazione predefinita farà quanto segue:
- Invia una richiesta echo
ICMP
- Invia un
TCP ACK
pacchetto alla porta 80
NOTA: Le nuove versioni di Nmap (credo anche la tua inclusa) inviano anche un pacchetto TCP SYN
alla porta 443
e una richiesta di timestamp ICMP
.
[2] Se ti trovi nella stessa rete (e sei un superutente), nel tuo caso significa che il computer che esegue Nmap ha un IP come 192.168.1.X
, un ARP
verrà utilizzata invece la richiesta. Se utilizzi Wireshark
, puoi visualizzare ARP
scambi di pacchetti.
[3] Infine, il comportamento predefinito di [1] utilizza i pacchetti RAW per ICMP
echo e TCP ACK
, quindi quando usi uno svantaggio utente quindi Nmap non può utilizzare questa tecnica. Invece, Nmap invierà un pacchetto TCP SYN
alla porta 80
, usando connect come faranno le normali applicazioni utente.
Se capisci come funziona Nmap ( [1] , [2] e [3] ) puoi capire perché stanno ottenendo risultati diversi.
Nella prima scansione, entrambi i computer ( 192.168.1.1
e 192.168.1.4
) hanno accettato la connessione TCP
. Questa era una scansione molto rumorosa, perché le applicazioni registreranno il fatto che le hai visitate. Ma tu hai quello che volevi: vedere che erano vivi. Nota che puoi configurare questo tipo di scansione quando esegui Nmap come superutente (quindi anche quando sei un super user puoi usare [3] invece di [1] o [2] ) e avrai ottenuto esattamente lo stesso risultato.
La tua seconda scansione ha inviato una ACK
alla porta 80
e una ICMP
echo e 192.168.1.1
l'ha ignorata. Ciò potrebbe significare che ha un firewall in atto. D'altra parte, 192.168.1.4
ha risposto a ACK
o ICMP
echo. Se fossi nella stessa rete ( 192.168.1.0
), sarebbe stato invece utilizzato ARP
(vedi [2] ) ... ma se così fosse, per qualche ragione 192.168.1.1
non avrebbe risposto alla tua richiesta di ARP
, che trovo insolita. Pertanto, direi che non eri nella stessa rete.
Nella tua terza scansione, a mio parere 192.168.1.3
avrebbe dovuto darti gli stessi risultati della seconda scansione. Il fatto che 192.168.1.3
non sia stato visualizzato nella seconda scansione potrebbe rispondere a fatti diversi - forse era connesso tramite wifi ed era inattivo? A volte succede al mio telefono quando si disconnette automaticamente per risparmiare energia. Hai ottenuto questi risultati in modo coerente? Dovresti eseguire più scansioni dettagliate per capire perché esattamente Nmap sta interpretando i suggerimenti di rete come fa.
Infine, se sei seriamente interessato all'apprendimento dello strumento, ti consiglio vivamente di ottenere il libro Nmap di Fyodor . È bello non solo capire come funziona Nmap, ma anche il comportamento di alcune reti di computer e altri trucchi. Ad esempio, potresti utilizzare -n
per saltare indietro DNS
ricerche e velocizzare il test. Puoi anche provare diverse porte ping (dal valore predefinito 80
) e diversi tipi di ping.