nmap - "No hay coincidencias de sistema operativo exactas para el host (condiciones de prueba no ideales)" incluso con 1 puerto abierto, 1 puerto cerrado

Navega tus respuestas
1

Estoy tratando de hacer algo de detección de Nmap OS y estoy encontrando algunos resultados que no entiendo.

El análisis que estoy ejecutando es el siguiente: 

nmap -O -F -v -T2 -oA nmap-uphosts-OSdetect -iL  < my_in_file

Tengo -F allí para limitar el número de puertos porque la exploración de 40 hosts estaba demorando mucho con los 1000 puertos predeterminados. El -T2 porque parecía haber algunas defensas de tipo IDS / límite de velocidad / tipo de firewall reactivo cuando se ejecuta a toda velocidad.

Cuando mi análisis finaliza prácticamente todos los hosts tienen el siguiente mensaje en los resultados:

  

No hay coincidencias exactas del sistema operativo para el host (condiciones de prueba no ideales)

Esto se produce incluso en hosts con varias aplicaciones abiertas & Puertos cerrados, según sea necesario para la detección del sistema operativo.

Vale la pena señalar que todos los hosts son máquinas virtuales VMWare. No estoy seguro si esto resulta en una huella dactilar que Nmap tiene un poco más de problemas para digerir.

¿Alguien tiene alguna idea sobre cuál podría ser la causa & ¿Cómo puedo determinar específicamente qué condiciones de prueba no son ideales para tratar de obtener resultados más concluyentes? Como todos los hosts enumeran varios sistemas operativos posibles sin una ID concluyente.

¡Gracias!

EDITAR: para aclarar esto es un entorno de laboratorio / aprendizaje. Tengo permiso para ejecutar los análisis.

    
pregunta MTLPhil 26.07.2014 - 16:45
fuente

1 respuesta

3

Nmap toma las huellas digitales del sistema operativo de un sistema remoto (más correctamente, la pila TCP / IP del sistema operativo) enviando una serie de sondas y midiendo las respuestas . Estas sondas comprueban las elecciones particulares que los programadores de sistemas operativos realizaron al implementar partes de los protocolos de Internet que no están tan estrictamente definidas como otras partes.

Hay varias razones por las que Nmap considera que una huella digital del SO no es ideal, y puede ser útil saber qué son y por qué son importantes:

  • El retraso en la exploración es superior a 500 ms : Nmap envía seis sondas en rápida sucesión y verifica en qué medida el sistema remoto incrementa ciertos contadores. Si hay demasiado retraso entre los paquetes, es muy probable que los paquetes de alguien más estén incrementando los contadores. ( -T2 establece un retraso de escaneo de 400ms)
  • Nivel de tiempo 5 (Insane) utilizado : -T5 puede abrumar un sistema o su enlace de red, lo que provoca la caída de paquetes y respuestas impredecibles, lo que lleva a una huella digital inutilizable.
  • Falta un puerto TCP abierto / cerrado por lo que el resultado es incompleto : algunas sondas solo se envían a puertos abiertos y otras solo a puertos cerrados, por lo que sin una u otra, la huella digital no puede completarse.
  • La distancia del host parece ser negativa : esto es algo extraño que puede ocurrir cuando un servidor de seguridad envía respuestas a los puertos UDP bloqueados. Cada vez que un firewall envía una respuesta a una de las sondas de Nmap, hace que la huella digital sea menos probable que coincida, ya que las respuestas serán una mezcla de buena y falsa.
  • La distancia del host es mayor que cinco : cuanto más lejos esté del objetivo, más probable será que exista algún tipo de filtro de paquetes o tráfico que cause interferencia con las sondas de Nmap. Además, algunas de las cosas de tiempo pueden ser desechadas.
  • maxTimingRatio es mayor que 1.4 : esta es una medida de la capacidad de respuesta a las sondas de Nmap. Nmap intenta enviar una sonda cada 100 ms, para un total de 500 ms entre la primera y la sexta sonda. Si tiene que esperar demasiado para cualquiera de ellos y la sexta sonda se envía más de 700 ms después de la primera, asumimos que las verificaciones de tiempo no serán precisas.
  • No recibió respuesta UDP. Vuelva a intentarlo con -sSU : una de las sondas enviadas es a un puerto UDP cerrado. Si no buscó UDP, su huella digital estará incompleta.

Estas razones provienen de el código fuente de Nmap , pero puedes verlas cuando ejecuta una exploración con -v2 o -d .

Tenga en cuenta que "no ideal" no significa necesariamente que no obtendrá una coincidencia precisa de huellas dactilares. Solo significa que hay muchas posibilidades de que algo haya interferido y provocado una huella digital de mala calidad. En estos casos, Nmap no imprimirá una huella digital del sistema operativo para enviarla, ya que no queremos saturar la base de datos con huellas digitales "borrosas".

    
respondido por el bonsaiviking 26.07.2014 - 21:19
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona el protocolo LSARPC? ¿Por qué una clave RSA (256 bits) tiene más de 256 bits de caracteres ASCII?