Quando ho eseguito il nmap -sn x.x.x.x/24 su una rete dietro il firewall Cisco ASA ottengo 255 host, anche se ci sono solo tre host in quella sottorete.
Se eseguo nmap -T4 -F x.x.x.x/24 ottengo tutti i 254 indirizzi IP che ritornano con la porta 53 e 110 filtrati
È probabile che l'ASA stia facendo qualcosa? sappi che ci sono solo tre host: uno switch e due host VMware su questa sottorete.
Probabilmente hai perfettamente ragione: il tuo firewall sta "facendo qualcosa". Questo è il ruolo di un firewall. E, forse, uno dei motivi per avere un firewall potrebbe essere quello di prevenire le scansioni delle porte, tra l'altro.
Devi chiederti come nmap decide se un host è "lì", "vivo" o "alto" oppure no. Un'idea ingenua è spesso provare a eseguire il ping, sebbene il ping sia un servizio TCP specifico che può essere implementato e abilitato o meno e che può essere filtrato o meno. Quindi la regola generale è la seguente: Se si ottiene una risposta a un pacchetto ping, è molto probabile che l'host sia attivo. Se non ricevi una risposta, non hai ottenuto molte informazioni da quel ping.
Detto questo, nei tuoi esempi, -sN (immagino che questo è ciò che intendevi perché penso che non ci siano opzioni -sn in nmap) e -T4 -F non contraddicano i metodi di scansione, ma nel tuo secondo esempio, lo si lascia a nmap per decidere come eseguire la scansione, il che significa che verrà impostato automaticamente su una scansione SYN e ricadrà su una scansione di connessione se non è possibile eseguire una scansione SYN. Si noti che il motivo per cui potrebbe non essere in grado di eseguire una scansione SYN potrebbe essere un problema con il lato client, cioè le autorizzazioni del processo nmap stesso, non sul target di scansione.
Da nmap.org:
[The SNY scan] technique is often referred to as half-open scanning, because you don't open a full TCP connection. You send a SYN packet, as if you are going to open a real connection and then wait for a response. A SYN/ACK indicates the port is listening (open), while a RST (reset) is indicative of a non-listener. If no response is received after several retransmissions, the port is marked as filtered. The port is also marked filtered if an ICMP unreachable error (type 3, code 0, 1, 2, 3, 9, 10, or 13) is received.
Al contrario, una scansione di connessione fa quello che dice. Non è una mezza connessione ma una connessione. (Si noti che una grande differenza è il fatto che una connessione viene solitamente vista sul target mentre una half-connect (scansione SYN) è più spesso non rilevata.
L'esempio -SN al contrario esegue una cosiddetta scansione nulla. Si chiama null perché invia pacchetti in cui non sono impostati nessuno dei tre possibili flag. Questo è molto profondo nell'implementazione TCP e sarebbe un po 'difficile da spiegare in tutti i dettagli in questa risposta, ma ecco cosa spiega nmap.org:
These three scan types [...] [of which the Null scan is one of them] exploit a subtle loophole in the TCP RFC to differentiate between open and closed ports. Page 65 of RFC 793 says that “if the [destination] port state is CLOSED .... an incoming segment not containing a RST causes a RST to be sent in response.” Then the next page discusses packets sent to open ports without the SYN, RST, or ACK bits set, stating that: “you are unlikely to get here, but if you do, drop the segment, and return.”
When scanning systems compliant with this RFC text, any packet not containing SYN, RST, or ACK bits will result in a returned RST if the port is closed and no response at all if the port is open. As long as none of those three bits are included, any combination of the other three (FIN, PSH, and URG) are OK.
In altre parole, mentre alcune scansioni cercano risultati positivi, questo cercherà risultati negativi.
Ora potresti voler consultare le impostazioni del firewall per capire in che modo il firewall si occupa delle mezze connessioni (ad esempio scansioni SYN) da una parte o scansioni Null dall'altra. Almeno il tuo firewall sembra fare un buon lavoro nascondendo la topologia dietro di esso.
Supponendo di avere consentito tutte le porte dell'intera sottorete attraverso il firewall, prova una scansione di connessione:
nmap -sT x.x.x.x / 24
Se questo riporta qualcosa di più dei tuoi tre host conosciuti, hai un altro problema.
Posso capire e concordare con la maggior parte di ciò che viene detto, ma l'affermazione che non esiste un comando -sn in NMAP non è corretta, sostituisce -sP come scansione ping o scansione di rete e nei documenti NMAP dice questo:
Questa opzione indica a Nmap di non eseguire una scansione delle porte dopo l'individuazione dell'host e di stampare solo gli host disponibili che hanno risposto alle sonde di rilevamento dell'host.
Fornisce anche le seguenti informazioni su ciò che effettivamente avviene:
L'individuazione host predefinita eseguita con -sn consiste in una richiesta echo ICMP, SYN TCP nella porta 443, ACK TCP nella porta 80 e una richiesta timestamp ICMP predefinita
Se ASA sta bloccando il traffico verso tutti gli indirizzi nella sottorete sull'altro lato eccetto quelli con le regole di autorizzazione perché NMAP segnala tutti gli host attivi durante l'esecuzione della scansione della rete -sn. Questo indica qualcosa di sbagliato con l'ASA o ho frainteso l'output
Tks
Leggi altre domande sui tag nmap