A veces, cuando estoy haciendo una evaluación de seguridad externa, me encuentro con hosts que tienen las siguientes restricciones / configuración:
- Todo el tráfico ICMP está bloqueado
- Un IDS o algún dispositivo devuelve todos los puertos como se filtran al escanear con nmap, usando sT, sN y sS scans.
- Incluso ejecutándose en -T0 o -T1, cualquier puerto se devuelve como filtrado. Escanear un solo puerto, por ejemplo, -p 65544 antes de hacer un escaneo completo, también muestra que está filtrado.
Solo un porcentaje muy pequeño de hosts parecerá estar activo, es decir, tener un puerto accesible en el servidor.
El problema con el IDS que informa que muchos puertos están "filtrados" para un host significa que nmap lo considera activo.
A veces me encuentro con este problema con rangos muy grandes. Determinar la cantidad de hosts en vivo puede ahorrar tiempo en la evaluación, por lo que estoy buscando una forma de automatizar de alguna manera.
Si la única respuesta es usar solo hosts que tengan al menos un puerto como "abierto", ¿hay alguna forma de que script nmap ignore los puertos considerados "filtrados"?
También debo tener en cuenta que ARP no es una opción aquí debido a que se trata de un escaneo externo a través de Internet y no hay un punto de pivote.