Determinar falsos positivos al escanear hosts en vivo con Nmap

Navega tus respuestas
2

Al realizar una evaluación de vulnerabilidad en una red grande, parece una práctica general determinar qué hosts de la red están activos.

Esto se puede hacer de varias maneras. Por lo que he leído, es bueno hacer algunos análisis ICMP, tal vez usar un escáner de vulnerabilidades que tenga un componente de descubrimiento, y quizás hacer algunos análisis TCP / UDP para encontrar hosts que no respondan o bloqueen el tráfico ICMP.

Me he encontrado con un problema al realizar exploraciones TCP o UDP para determinar si un host está vivo o no.

Considere una red de muestra de 1000 hosts. Tal vez 50 responderán al tráfico ICMP y pueden considerarse en vivo. A veces, cuando se realiza una exploración TCP / UDP, nmap considerará que todos los hosts están activos, incluso si no se detectan puertos.

Esto es mediante el uso del conmutador -PN con nmap, que es necesario ya que de lo contrario los hosts parecen estar inactivos y encuentro hosts en vivo adicionales con puertos TCP abiertos de esta manera. Es solo que a la mayoría de los otros hosts también se les informa que están vivos cuando este no es el caso.

¿Hay alguna forma de eliminar falsos positivos (es decir, los hosts que informan como activos pero no tienen puertos abiertos) para los hosts en vivo cuando se utilizan las exploraciones TCP o UDP?

    
pregunta Sonny Ordell 14.11.2013 - 06:20
fuente

3 respuestas

0

Lo que normalmente hago para esto depende del tiempo que tengo para la exploración. Si estoy buscando un descubrimiento relativamente rápido más allá del nmap básico (ICMP + puerto 80 ACK) hago un escaneo de descubrimiento con una lista de puertos TCP comunes algo como

  

nmap -sP -PS 21,22,23,53,80,443,500,3389 [rango de entrada]

Si tengo un poco más de tiempo, agregaré un escaneo sin ping para los 1000 puertos principales y solo marcaré uno como activo si tienen al menos un puerto abierto.

Por último, si tengo mucho tiempo y los rangos no son demasiado grandes, intentaré un escaneo TCP de 65k sin ping. Esto puede tardar mucho tiempo en realmente , así que solo hazlo si necesitas asegurarte de que lo tienes todo. También te recomiendo usar los indicadores de tiempo de nmap para acelerar el proceso (por ejemplo, --max-rtt-timeout, --max-reintentos, --max-scan-delay)

    
respondido por el Rоry McCune 15.12.2013 - 17:00
fuente
1

¿Cómo se eliminan los falsos positivos en una red no local en nmap? Puertos Si el objetivo tiene puertos arriba, está activo. Si no, es desconocido.

Las exploraciones ARP son las mejores para eliminar falsos positivos, y es posible que necesite un punto de pivote en la red no local para realizar las exploraciones para aprovechar eso.

De lo contrario, si es posible, es posible que deba realizar una captura de paquetes para ver si los hosts generan tráfico. Pero, tiene que ser la situación correcta para que esto funcione.

    
respondido por el schroeder 14.11.2013 - 21:32
fuente
-3

Definitivamente estás buscando las siguientes banderas de nmap -

  

-T1 -n -Pn --abierto --versión-intensidad 0 -sUSV -p-

No es así como ejecuto nmap (ya que es demasiado lento y no muy detallado), pero resuelve el problema sobre el que estás preguntando. Tal vez debería intentar hacer mejores preguntas y usar su (s) herramienta (s) de manera más eficiente. Revisa algunas de mis otras preguntas y respuestas en este foro.

    
respondido por el atdre 10.03.2015 - 19:20
fuente

Lea otras preguntas en las etiquetas

Inyección de SQL con pase MD5 ¿Cómo almaceno de forma segura las contraseñas en mi base de datos? [duplicar]