Quando esegui una valutazione della vulnerabilità su una rete di grandi dimensioni, sembra pratica generale determinare quali host sulla rete sono attivi.
Questo può essere fatto in vari modi. Da quello che ho letto è bene fare alcune scansioni ICMP, magari usare uno scanner di vulnerabilità che ha un componente di scoperta, e magari fare alcune scansioni TCP / UDP per trovare gli host che non rispondono o bloccano il traffico ICMP.
Ho riscontrato un problema durante le scansioni TCP o UDP per determinare se un host è vivo o meno.
Considera una rete campione di 1000 host. Forse 50 risponderanno al traffico ICMP e possono essere considerati dal vivo. A volte quando si esegue una scansione TCP / UDP, ogni host verrà considerato da nmap come live, anche se non vengono rilevate porte.
Questo è usando l'opzione -PN con nmap, che è necessario in quanto altrimenti gli host sembrano essere inattivi e trovo altri host live con porte TCP aperte in questo modo. È solo che la maggior parte degli altri host viene anche segnalata come live quando non è così.
C'è un modo per eliminare il falso positivo (ovvero gli host che segnalano come non hanno porte aperte) per gli host live quando si utilizzano le scansioni TCP o UDP?