Elenco incoerente di host trovati dai ping nmap dalla scansione alla scansione - tcpdump mostra le risposte echo ICMP arrivate

0

Sto eseguendo periodicamente nmap per monitorare quali host sono nella nostra subnet del server:

rm list; for i in $(seq 1 254) ; do echo 10.10.10.$i >> list ; done
sudo nmap -oG - -PE -sn -iL list

La maggior parte delle volte scopre 28 host, ma a volte meno.

Ho impostato tshark (tcpdump) per catturare tutto il traffico non ssh ( 2scans. file pcapng ) e per quanto posso dire, per alcuni host, non c'è differenza nel traffico di rete tra quando nmap segnala un host come "Statups: Up" oppure no.

es. due successive esecuzioni dello script nmap hanno prodotto questo output:

Scansione 1:

# Nmap 6.47 scan initiated Fri Aug 10 11:12:57 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.2 (access-switch01.capmon)   Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon)  Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon)  Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon)    Status: Up
Host: 10.10.10.63 (proxmox13.capmon)    Status: Up
Host: 10.10.10.64 (proxmox14.capmon)    Status: Up
Host: 10.10.10.66 (proxmox16.capmon)    Status: Up
Host: 10.10.10.69 (proxmox01.capmon)    Status: Up
Host: 10.10.10.71 (proxmox03.capmon)    Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon)    Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon)    Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon)    Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon)    Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon)  Status: Up
Host: 10.10.10.248 (smsgw2.capmon)  Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:12:58 2018 -- 254 IP addresses (21 hosts up) scanned in 1.05 seconds

Scansione 2:

# Nmap 6.47 scan initiated Fri Aug 10 11:13:08 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.1 (capmon-backnet.capmon)    Status: Up
Host: 10.10.10.2 (access-switch01.capmon)   Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon)  Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon)  Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon)    Status: Up
Host: 10.10.10.63 (proxmox13.capmon)    Status: Up
Host: 10.10.10.64 (proxmox14.capmon)    Status: Up
Host: 10.10.10.65 (proxmox15.capmon)    Status: Up
Host: 10.10.10.66 (proxmox16.capmon)    Status: Up
Host: 10.10.10.69 (proxmox01.capmon)    Status: Up
Host: 10.10.10.71 (proxmox03.capmon)    Status: Up
Host: 10.10.10.72 (proxmox04.capmon)    Status: Up
Host: 10.10.10.73 (proxmox05.capmon)    Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon)    Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon)    Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon)    Status: Up
Host: 10.10.10.94 (proxmox15-imm.capmon)    Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon)    Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon)  Status: Up
Host: 10.10.10.122 ()   Status: Up
Host: 10.10.10.248 (smsgw2.capmon)  Status: Up
Host: 10.10.10.249 (smsgw.capmon)   Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:13:10 2018 -- 254 IP addresses (28 hosts up) scanned in 1.73 seconds

Ho studiato il 10.10.10.1 mancante e, in effetti, non esiste una risposta Echo ICMP per questo. Ma per es. 10.10.10.94, sembra che il traffico da / per quell'host sembra esattamente lo stesso per le due scansioni:

> tshark -ta -r 2scans.pcapng -Y 'ip.addr==10.10.10.94'
  633 11:12:58.475808 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x6527, seq=0/0, ttl=59
  639 11:12:58.476203  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x6527, seq=0/0, ttl=63 (request in 633)
  752 11:12:58.589521 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x6823, seq=0/0, ttl=46
  761 11:12:58.589943  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x6823, seq=0/0, ttl=63 (request in 752)
 1413 11:13:10.224663 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x379d, seq=0/0, ttl=45
 1416 11:13:10.225120  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x379d, seq=0/0, ttl=63 (request in 1413)
 1443 11:13:10.324831 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x1e55, seq=0/0, ttl=58
 1446 11:13:10.325277  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x1e55, seq=0/0, ttl=63 (request in 1443)

Qualcuno può spiegare perché nmap non ha segnalato 10.10.10.94 come nella prima scansione (pacchetti 633-761)?

    
posta Peter V. Mørch 10.08.2018 - 11:59
fonte

2 risposte

0

Per il mio caso particolare, il problema era l'opzione -PE di nmap. Se eseguo nmap con l'opzione -PE , trova risultati incoerenti in circa 1/3 delle esecuzioni, mentre senza -PE è coerente su diverse migliaia di esecuzioni.

Quindi abbiamo appena smesso di usare -PE .

    
risposta data 14.08.2018 - 12:28
fonte
0

Sembra un'istanza di La scansione ARP di Nmap manca alcuni host vivi in alcuni casi · Problema # 92 · nmap / nmap - anche se non ne sono certo. Diverse persone hanno visto sintomi simili, ma allo stato attuale di questo bug, nessuno ha la minima idea del perché.

Forse questo è stato introdotto tra le versioni 4.11 e 4.53-1 ~ bpo40 + 1 (numero di versione debian). Forse no.

    
risposta data 12.08.2018 - 15:07
fonte

Leggi altre domande sui tag