L'uso dell'ID plugin rende la scansione Nessus invadente in qualche modo?

1

Voglio sapere quando eseguo la scansione usando NESSUS, anche se si dice che non è invadente di default Ma quello che voglio sapere è come l'uso / definizione o le condizioni di test menzionate nel plugin-id influenzano il risultato della scansione . Queste condizioni o test o controlli rendono la scansione più intrusiva in qualche modo. I.e invio di pacchetti artigianali. Ad esempio, quando id-plug verifica la password predefinita, cambia la definizione di sola scansione / enumerazione delle porte.

Ho un esempio recente, in cui il servizio di gmond 8649 è stato arrestato in modo anomalo come risultato della scansione. È venuto a conoscenza, che il servizio / porta ricevuto traffico / dati non di servizio come il suo consumo di CPU è andato al 100%. Quindi, se il suo semplice port scanner non intrusivo ha portato a crash del servizio di host remoto? È certamente in grado di generare anche pacchetti / dati.

In realtà, è giusto dire che nessus usa scansioni NMAP / porte per ottenere risultati di scansione per i servizi e versione di diverse applicazioni per dare un verdetto sul suo stato vulnerabile o fa uso di plugin-id e altre informazioni per concludere, dare fiducia segna su quanto vulnerabile può essere il particolare servizio? (Più controlli > stessi risultati- > più alto grado di confidenza).

Apprezzo che qualcuno possa aiutarmi a capire cosa effettivamente va nella logica interna del nessus quando si tratta di esprimere giudizi / fare appello a tali questioni. (vulnerabile vs non vulnerabile)

    
posta Saladin 09.05.2014 - 16:25
fonte

2 risposte

2

Nessus non è uno scanner Tcp. Nmap è uno scanner che trova le porte aperte, Nessus è uno strumento di valutazione delle vulnerabilità che prima utilizza uno scanner per trovare le porte aperte tcp e udp, quindi esegue i test sui servizi trovati. Alcuni dei test che può fare sono invadenti e dovrebbero essere scelti solo considerando i rischi.

    
risposta data 09.05.2014 - 21:49
fonte
0

Fondamentalmente come ha detto @GdD.

Nessus fa uso di portscanner / assementtools (puoi configurarlo per eseguire le scansioni TCP Ack, Syn, Ack-Syn e le scansioni UDP o ICMP) per rilevare quali porte sulla macchina sono in esecuzione e quindi una famiglia di plugin che hai configurato è testato rispetto ai servizi riconosciuti.

La parola "intrusivo" è un po 'sdolcinata, dal momento che alcuni sistemi molto fragili possono essere gestiti semplicemente scansionando con un portscanner.

es. ricevo questo avviso sul mio dispositivo incorporato durante il portscanning con nessus:

E:SMI_TCP_GETRMHDR: Unexpected record size!
E:SMI_TCP_GETRMHDR: Unexpected record fragment!

... E sono persino riuscito a sincronizzare il mio dispositivo con nessus quando ha verificato se un DoS-Vuln del server FTPS era persistente (era ^^).

Quindi, chiamare una scansione "intrusiva" dipende da come lo hai configurato. Alcuni plug-in possono essere più intrusivi di altri, anche se su un sistema rigido nessuno dovrebbe avere effetti gravi.

Ci può essere un'eccezione da questa: The Nessus HTTP-Fuzzer . Poiché sfoglia più destinazioni e verifica i metodi e alcuni URL appositamente predisposti con più metodi (GET, POST, PUT, DELETE ..) può essere considerato intrusivo, se il tuo server web è configurato male o utilizza una cattiva lib.

Quindi ... potresti voler disinfettare la tua Macchina da scansionare prima di far scansionare Nessus, in questi casi. Potrebbe non essere la mossa più saggia per far sì che il tuo ambiente di produzione live sia confuso da Nessus ..!

saluti, Gewure

    
risposta data 07.08.2017 - 12:56
fonte

Leggi altre domande sui tag