¿El uso de plugin-id hace que el escaneo de nessus sea intrusivo de alguna manera?

1

Quiero saber cuándo escaneo usando NESSUS, aunque se dice que no es intrusivo por defecto. Pero lo que quiero saber es cómo el uso / definición o las condiciones de prueba mencionadas en el plugin-id afectan el resultado del escaneo. . ¿Estas condiciones, pruebas o verificaciones hacen que el escaneo sea más intrusivo de alguna manera? Es decir, enviando paquetes hechos a mano. Por ejemplo, cuando el plugin-id verifica la contraseña predeterminada, cambia su definición de escaneo / enumeración de puertos solo.

Tengo un ejemplo reciente, donde el gmond service 8649 se estrelló como resultado del escaneo. Llegó a la conclusión de que el servicio / puerto recibió tráfico / datos que no eran de servicio, por lo que su consumo de CPU llegó al 100%. Entonces, si es solo un escáner de puertos no intrusivo, ¿cómo se produjo el bloqueo del servicio del host remoto? Sin duda, también es capaz de generar paquetes / datos.

En realidad, ¿es justo decir que nessus utiliza los resultados de los escaneos / escaneos de NMAP para los servicios, y la versión de la aplicación diferente para emitir un veredicto sobre su estado vulnerable o hacer uso de plugin-id y otra información para concluir, dar confianza ¿Señala qué tan vulnerable puede ser el servicio en particular? (Más controles > mismos resultados - > mayor grado de confianza).

Aprecio si alguien me puede ayudar a entender lo que realmente va dentro de la lógica central de nessus cuando se trata de emitir juicios / apelar a tales asuntos. (vulnerable vs no vulnerable)

    
pregunta Saladin 09.05.2014 - 16:25
fuente

2 respuestas

2

Nessus no es un escáner tcp. Nmap es un escáner que encuentra puertos abiertos, Nessus es una herramienta de evaluación de vulnerabilidades que primero utiliza un escáner para encontrar puertos abiertos tcp y udp y luego realiza pruebas en los servicios encontrados. Algunas de las pruebas que puede realizar son intrusivas y solo deben seleccionarse observando los riesgos.

    
respondido por el GdD 09.05.2014 - 21:49
fuente
0

Básicamente, como dijo @GdD.

Nessus hace uso de portscanners / assementtools (puede configurarlo para hacer TCP Ack, Syn, Ack-Syn Scans y UDP o ICMP Scans) para detectar qué puertos de la máquina se ejecutan, y luego una familia de complementos que configuró se prueba contra servicios reconocidos.

La palabra "intrusivo" es un poco insípida, ya que algunos sistemas muy frágiles se pueden hacer con solo escanear con un explorador de puertos.

por ejemplo Obtengo estas advertencias en mi dispositivo integrado cuando escaneo puertos con nessus:

E:SMI_TCP_GETRMHDR: Unexpected record size!
E:SMI_TCP_GETRMHDR: Unexpected record fragment!

... E incluso logré bloquear mi dispositivo con nessus cuando probó si un DoS-Vuln del servidor FTPS era persistente (era ^^).

Por lo tanto, llamar a un escaneo "intrusivo" depende de cómo lo configuraste. Algunos complementos pueden ser más intrusivos que otros, aunque en un sistema endurecido ninguno debería tener ningún efecto grave.

Puede haber una excepción a esto: Nessus HTTP-Fuzzer . Dado que difunde múltiples destinos y prueba los métodos y algunas URL especialmente diseñadas con múltiples métodos (GET, POST, PUT, DELETE ...) puede, si su servidor web está mal configurado o usa una lib lib, se puede considerar intrusivo.

Entonces ... es posible que desee desinfectar su Máquina para ser escaneada antes de dejar que Nessus la escanee, en tales casos. ¡Puede que no sea el paso más inteligente para que Nessus ... falle su entorno de producción en vivo ...!

saludos, Gewure

    
respondido por el Gewure 07.08.2017 - 12:56
fuente

Lea otras preguntas en las etiquetas