Determinazione dei falsi positivi durante la scansione di host live con Nmap

2

Quando esegui una valutazione della vulnerabilità su una rete di grandi dimensioni, sembra pratica generale determinare quali host sulla rete sono attivi.

Questo può essere fatto in vari modi. Da quello che ho letto è bene fare alcune scansioni ICMP, magari usare uno scanner di vulnerabilità che ha un componente di scoperta, e magari fare alcune scansioni TCP / UDP per trovare gli host che non rispondono o bloccano il traffico ICMP.

Ho riscontrato un problema durante le scansioni TCP o UDP per determinare se un host è vivo o meno.

Considera una rete campione di 1000 host. Forse 50 risponderanno al traffico ICMP e possono essere considerati dal vivo. A volte quando si esegue una scansione TCP / UDP, ogni host verrà considerato da nmap come live, anche se non vengono rilevate porte.

Questo è usando l'opzione -PN con nmap, che è necessario in quanto altrimenti gli host sembrano essere inattivi e trovo altri host live con porte TCP aperte in questo modo. È solo che la maggior parte degli altri host viene anche segnalata come live quando non è così.

C'è un modo per eliminare il falso positivo (ovvero gli host che segnalano come non hanno porte aperte) per gli host live quando si utilizzano le scansioni TCP o UDP?

    
posta Sonny Ordell 14.11.2013 - 06:20
fonte

3 risposte

0

Ciò che faccio in genere per questo dipende dal tempo che ho per la scansione. Se cerco una scoperta relativamente veloce oltre la nmap di base (porta ICMP + 80 ACK) eseguo una scansione di scoperta con un elenco di porte TCP comuni, ad esempio

nmap -sP -PS 21,22,23,53,80,443,500,3389 [input range]

Se avrò un po 'più di tempo, aggiungo una scansione ping per le prime 1000 porte e contrassegno solo come se avesse almeno una porta aperta.

Infine, se ho molto tempo e gli intervalli non sono troppo grandi proverò una scansione TCP 65k senza ping. Questo può richiedere un davvero molto tempo per essere completato, quindi fallo solo se devi essere sicuro di avere tutto, inoltre ti consiglio di utilizzare i flag di temporizzazione di nmap per accelerare il processo (es. --max-rtt-timeout, --max-retries, --max-scan-delay)

    
risposta data 15.12.2013 - 17:00
fonte
1

Come si eliminano i falsi positivi su una rete non locale in nmap? Porte. Se l'obiettivo ha porte, è vivo. Se no, è sconosciuto.

Le scansioni ARP sono le migliori per eliminare i falsi positivi e potrebbe essere necessario un punto di snodo sulla rete non locale per eseguire le scansioni per trarne vantaggio.

Altrimenti, se possibile, potrebbe essere necessario eseguire un'acquisizione di pacchetti per verificare se gli host generano traffico. Ma deve essere la giusta situazione per far funzionare tutto questo.

    
risposta data 14.11.2013 - 21:32
fonte
-3

Stai sicuramente cercando i seguenti flag nmap -

-T1 -n -Pn --open --version-intensity 0 -sUSV -p-

Questo non è il modo in cui eseguo nmap (dato che è troppo lento e non molto dettagliato), ma risolve il problema che stai ponendo al meglio. Forse dovresti provare a porre domande migliori e usare i tuoi strumenti in modo più efficiente. Cerca alcune delle mie altre domande e risposte in questo forum.

    
risposta data 10.03.2015 - 19:20
fonte