Confronto scansione Nmap mostra il cambiamento nelle porte

3

Cercherò di spiegare la mia domanda nel modo più semplice possibile.
Ho uno script che usa nmap per cercare porte aperte e salvare il risultato in un file. La prossima volta che esegue la scansione di un host, sposta il vecchio rapporto nmap salvato e ne crea uno nuovo, infine confronta questi 2 rapporti per vedere quali porte sono state modificate. Cioè, se una macchina avesse una porta dire (80 / tcp, 22tcp) aperta nel risultato della scansione precedente; e se il nuovo risultato della scansione è costituito solo da (80 / tcp), lo script notifica un canale allentato come:

CHANGE OCCURED FROM (80/tcp , 22tcp)   ===>   (80/tcp) 

quindi ultimamente ho ricevuto troppe notifiche da alcune delle macchine, continua a cambiare porta da APRI a CHIUDI e CHIUDE a APRIRE. Ora questo script viene eseguito ogni 15 minuti e non sono davvero sicuro del perché per alcune delle macchine questo continua a verificarsi poiché ho visto che le porte non cambiano registrando manualmente le macchine.

Non ci sono IDS sulle macchine che mostrano questo comportamento. È possibile che le macchine interrompano il traffico NMAP?

    
posta Nishant Singh 19.07.2016 - 13:07
fonte

1 risposta

2

1) Nmap Timeout

Non so come sia determinato da Nmap, ma sono abbastanza sicuro che occorra prendere in considerazione il tempo di risposta mentre si decide se la porta di destinazione è aperta o meno. A seconda dei vari fattori, una porta potrebbe non essere in grado di rispondere immediatamente, quindi forse Nmap decide che la porta è chiusa. Diciamo che la soglia è 100ms. All'inizio Nmap ottiene una risposta in 89 ms e al secondo tentativo ottiene una risposta in 105 ms. In entrambe le situazioni la porta di destinazione è effettivamente aperta ma non riesce a rispondere in tempo.

2) Regole del firewall

Il computer di destinazione non ha bisogno di avere un IDS in piena regola, la scansione delle porte è una minaccia molto semplice da rilevare. Limitare il numero di pacchetti nel tempo da un singolo IP può disabilitare le scansioni per un po '. La cosa divertente è che, dal momento che Nmap governa le scansioni asincrone, potrebbe scramble l'ordine. Ciò significa che Nmap potrebbe superare la soglia durante la scansione della porta 8080 su un thread e potrebbe non aver ancora scansionato la porta 50. Potrebbe darti strani risultati.

I miei consigli

  • Usa il flag "-T" di Nmap. Ad esempio, usa -T3 anziché -5 per far sì che la scansione sia più lenta ma più docile.
  • Ci sono dei flag per timeout come "--max-rtt-timeout" e "--max-scan-delay", approfittane per gli host più lenti.
  • Implementare un algoritmo di rilevamento delle modifiche migliore. Invece di controllare il risultato corrente con uno precedente, confronta quanti risultati "CHIUSO" o "APERTO" hai ottenuto in un dato momento. Esistono molti algoritmi di rilevamento di falsi positivi e falsi negativi che puoi trovare su Internet. (SANS spiega la sicurezza dei falsi negativi, qui )
risposta data 19.07.2016 - 13:40
fonte

Leggi altre domande sui tag