La comparación de la exploración de Nmap muestra cambios en los puertos

3

Voy a intentar explicar mi pregunta de la manera más sencilla posible.
Tengo un script que usa nmap para buscar puertos abiertos y guardar el resultado en un archivo. La próxima vez que escanee un host, mueve el antiguo informe de nmap guardado y crea uno nuevo, por último, compara estos 2 informes para ver qué puertos se han cambiado. Es decir, si una máquina tuviera un puerto, digamos (80 / tcp, 22tcp) abierto en el resultado del escaneo anterior; y si el nuevo resultado del escaneo consiste solo en (80 / tcp), entonces el script notifica a un canal inactivo como:

CHANGE OCCURED FROM (80/tcp , 22tcp)   ===>   (80/tcp) 

últimamente, he estado recibiendo demasiadas notificaciones de algunas de las máquinas, sigue cambiando el puerto, es decir, de ABIERTO a CERRADO y CERRADO a ABIERTO. Ahora, esta secuencia de comandos se ejecuta cada 15 minutos y realmente no estoy seguro de por qué para algunas de las máquinas esto sigue sucediendo, ya que he visto que los puertos no cambian al iniciar sesión manualmente en las máquinas.

No hay IDS en las máquinas que muestran este comportamiento. ¿Es posible que las máquinas estén reduciendo el tráfico NMAP?

    
pregunta Nishant Singh 19.07.2016 - 13:07
fuente

1 respuesta

2

1) Tiempo de espera de Nmap

No sé cómo Nmap determina eso, pero estoy bastante seguro de que toma en cuenta el tiempo de respuesta al decidir si el puerto de destino está abierto o no. Dependiendo de varios factores, es posible que un puerto no pueda responder de inmediato, por lo que quizás Nmap decida que el puerto está cerrado. Digamos que el umbral es de 100ms. Al principio, Nmap recibe una respuesta en 89 ms y en el segundo intento obtiene una respuesta en 105 ms. En ambas situaciones, el puerto de destino está realmente abierto pero no responde a tiempo.

2) Reglas del cortafuegos

La máquina de destino no necesita tener una IDS completa delante de ella, el escaneo del puerto es una amenaza muy simple de detectar. Limitar el número de paquetes a lo largo del tiempo desde una sola IP puede deshabilitar sus exploraciones por un tiempo. Lo curioso es que, dado que Nmap gobierna los análisis asíncronos, puede alterar el orden. Eso significa que Nmap puede exceder el umbral al escanear el puerto 8080 en un hilo, y puede que aún no se haya escaneado el puerto 50. Podría darte resultados extraños.

Mis recomendaciones

  • Use la bandera "-T" del Nmap. Por ejemplo, use -T3 en lugar de -T5 para que la exploración sea más lenta pero más dócil.
  • Hay indicadores para los tiempos de espera, como "--max-rtt-timeout" y "--max-scan-delay", aprovéchalos para los hosts más lentos.
  • Implementar un mejor algoritmo de detección de cambios. En lugar de solo verificar el resultado actual con uno anterior, compare cuántos resultados "CERRADOS" u "ABIERTOS" tiene en un tiempo determinado. Hay muchos algoritmos de detección de falsos positivos y negativos que puede encontrar en Internet. (SANS explica Falsos Negativos de seguridad, aquí )
respondido por el Goktay Kaykusuz 19.07.2016 - 13:40
fuente

Lea otras preguntas en las etiquetas