Sto eseguendo periodicamente nmap per monitorare quali host sono nella nostra subnet del server:
rm list; for i in $(seq 1 254) ; do echo 10.10.10.$i >> list ; done
sudo nmap -oG - -PE -sn -iL list
La maggior parte delle volte scopre 28 host, ma a volte meno.
Ho impostato tshark (tcpdump) per catturare tutto il traffico non ssh ( 2scans. file pcapng ) e per quanto posso dire, per alcuni host, non c'è differenza nel traffico di rete tra quando nmap segnala un host come "Statups: Up" oppure no.
es. due successive esecuzioni dello script nmap hanno prodotto questo output:
Scansione 1:
# Nmap 6.47 scan initiated Fri Aug 10 11:12:57 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.2 (access-switch01.capmon) Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon) Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon) Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon) Status: Up
Host: 10.10.10.63 (proxmox13.capmon) Status: Up
Host: 10.10.10.64 (proxmox14.capmon) Status: Up
Host: 10.10.10.66 (proxmox16.capmon) Status: Up
Host: 10.10.10.69 (proxmox01.capmon) Status: Up
Host: 10.10.10.71 (proxmox03.capmon) Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon) Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon) Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon) Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon) Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon) Status: Up
Host: 10.10.10.248 (smsgw2.capmon) Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:12:58 2018 -- 254 IP addresses (21 hosts up) scanned in 1.05 seconds
Scansione 2:
# Nmap 6.47 scan initiated Fri Aug 10 11:13:08 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.1 (capmon-backnet.capmon) Status: Up
Host: 10.10.10.2 (access-switch01.capmon) Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon) Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon) Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon) Status: Up
Host: 10.10.10.63 (proxmox13.capmon) Status: Up
Host: 10.10.10.64 (proxmox14.capmon) Status: Up
Host: 10.10.10.65 (proxmox15.capmon) Status: Up
Host: 10.10.10.66 (proxmox16.capmon) Status: Up
Host: 10.10.10.69 (proxmox01.capmon) Status: Up
Host: 10.10.10.71 (proxmox03.capmon) Status: Up
Host: 10.10.10.72 (proxmox04.capmon) Status: Up
Host: 10.10.10.73 (proxmox05.capmon) Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon) Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon) Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon) Status: Up
Host: 10.10.10.94 (proxmox15-imm.capmon) Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon) Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon) Status: Up
Host: 10.10.10.122 () Status: Up
Host: 10.10.10.248 (smsgw2.capmon) Status: Up
Host: 10.10.10.249 (smsgw.capmon) Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:13:10 2018 -- 254 IP addresses (28 hosts up) scanned in 1.73 seconds
Ho studiato il 10.10.10.1 mancante e, in effetti, non esiste una risposta Echo ICMP per questo. Ma per es. 10.10.10.94, sembra che il traffico da / per quell'host sembra esattamente lo stesso per le due scansioni:
> tshark -ta -r 2scans.pcapng -Y 'ip.addr==10.10.10.94'
633 11:12:58.475808 172.22.216.210 → 10.10.10.94 ICMP 42 Echo (ping) request id=0x6527, seq=0/0, ttl=59
639 11:12:58.476203 10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply id=0x6527, seq=0/0, ttl=63 (request in 633)
752 11:12:58.589521 172.22.216.210 → 10.10.10.94 ICMP 42 Echo (ping) request id=0x6823, seq=0/0, ttl=46
761 11:12:58.589943 10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply id=0x6823, seq=0/0, ttl=63 (request in 752)
1413 11:13:10.224663 172.22.216.210 → 10.10.10.94 ICMP 42 Echo (ping) request id=0x379d, seq=0/0, ttl=45
1416 11:13:10.225120 10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply id=0x379d, seq=0/0, ttl=63 (request in 1413)
1443 11:13:10.324831 172.22.216.210 → 10.10.10.94 ICMP 42 Echo (ping) request id=0x1e55, seq=0/0, ttl=58
1446 11:13:10.325277 10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply id=0x1e55, seq=0/0, ttl=63 (request in 1443)
Qualcuno può spiegare perché nmap non ha segnalato 10.10.10.94 come nella prima scansione (pacchetti 633-761)?