nmap - "Nessuna corrispondenza OS esatta per l'host (condizioni di prova non ideali)" anche con 1 aperta, 1 porta chiusa

1

Sto provando a eseguire il rilevamento del sistema operativo Nmap e sto riscontrando alcuni risultati che non capisco.

La scansione che sto seguendo è la seguente:

nmap -O -F -v -T2 -oA nmap-uphosts-OSdetect -iL  < my_in_file

Ho -F in là per limitare il numero di porte perché la scansione di 40 host richiedeva davvero molto tempo con le porte 1000 predefinite. Il -T2 perché sembra che ci siano alcune difese del tipo di firewall IDS / limitazione della velocità / reattiva quando è in esecuzione a tutta velocità.

Quando la mia scansione termina praticamente ogni singolo host ha il seguente messaggio nei risultati:

No exact OS matches for host (test conditions non-ideal)

Ciò si verifica anche su host con più open & porte chiuse, come richiesto per il rilevamento del sistema operativo.

Vale la pena notare che tutti gli host sono VM VM VMware. Non sono sicuro se questo si traduce in un'impronta digitale che Nmap ha un po 'più problemi di digestione.

Qualcuno ha qualche idea su quale potrebbe essere la causa & come posso determinare in modo specifico quali condizioni di test non sono ideali per cercare di ottenere risultati più conclusivi? Poiché tutti gli host elencano diversi SO possibili senza un ID conclusivo.

Grazie!

EDIT - Per chiarire questo è un ambiente di laboratorio / apprendimento. Ho il permesso di eseguire le scansioni.

    
posta MTLPhil 26.07.2014 - 16:45
fonte

1 risposta

3

Nmap impronta il sistema operativo di un sistema remoto (più correttamente, lo stack TCP / IP del sistema operativo) inviando una serie di sonde e misurare le risposte . Queste sonde verificano le scelte particolari effettuate dai programmatori del sistema operativo durante l'implementazione di parti dei protocolli Internet che non sono definite in modo rigoroso come le altre parti.

Ci sono diversi motivi per cui Nmap considera l'impronta digitale del SO non ideale, e può essere utile sapere cosa sono e perché sono importanti:

  • Il ritardo di scansione è maggiore di 500 ms - Nmap invia sei sonde in rapida successione e controlla per vedere quanto il sistema remoto incrementa determinati contatori. Se c'è troppo ritardo tra i pacchetti, allora c'è una buona probabilità che i pacchetti di qualcun altro stiano incrementando i contatori. ( -T2 imposta un ritardo di scansione di 400ms)
  • Il livello di tempo 5 (Insane) utilizzato - -T5 può sovraccaricare un sistema o il suo collegamento di rete, causando pacchetti interrotti e risposte imprevedibili, che portano a un'impronta digitale inutilizzabile.
  • Manca una porta TCP aperta / chiusa quindi i risultati sono incompleti - Alcuni probe vengono inviati solo alle porte aperte e alcuni solo alle porte chiuse, quindi senza l'uno o l'altro l'impronta digitale non può essere completata.
  • La distanza dell'host sembra essere negativa - Questa è una cosa strana che può accadere quando un firewall invia risposte alle porte UDP bloccate. Ogni volta che un firewall invia una risposta a una delle sonde di Nmap, rende meno probabile che l'impronta digitale corrisponda, poiché le risposte saranno un misto di buono e falso.
  • La distanza dell'host è maggiore di cinque - Più lontano sei dal target, più è probabile che ci sia una sorta di filtro di pacchetti o traffic shaper che causa interferenze con le sonde di Nmap. Inoltre, alcuni elementi del calendario possono essere eliminati.
  • maxTimingRatio è maggiore di 1.4 - Questa è una misura della reattività alle sonde di Nmap. Nmap tenta di inviare una sonda ogni 100 ms, per un totale di 500 ms tra la prima e la sesta sonda. Se deve aspettare troppo a lungo per uno di essi e la sesta sonda viene inviata più di 700 ms dopo la prima, allora assumiamo che i controlli dei tempi non siano accurati.
  • Non ha ricevuto risposta UDP. Riprovare con -sSU : una delle sonde inviate è una porta UDP chiusa. Se non hai eseguito la scansione di UDP, la tua impronta digitale sarà incompleta.

Questi motivi provengono da codice sorgente Nmap , ma puoi vederli quando esegui una scansione con -v2 o -d .

Si noti che "non ideale" non significa necessariamente che non si otterrà una corrispondenza accurata delle impronte digitali. Significa solo che è probabile che qualcosa interferisca e causi un'impronta digitale di scarsa qualità. In questi casi, Nmap non stamperà un'impronta digitale del SO per l'invio, poiché non vogliamo ingombrare il database con impronte digitali "sfocate".

    
risposta data 26.07.2014 - 21:19
fonte

Leggi altre domande sui tag