Cuando ejecuté nmap -sn x.x.x.x/24 en una red detrás del firewall ASA de Cisco, obtengo 255 hosts a pesar de que solo hay tres hosts en esa subred.
Si ejecuto nmap -T4 -F x.x.x.x/24 , obtengo que todas las 254 direcciones IP vuelven con el puerto 53 y 110 filtrados
¿Es probable que el ASA esté haciendo algo? sepa que solo hay tres hosts: un switch y dos hosts de VMware en esta subred.
Probablemente tiene toda la razón: su firewall está "haciendo algo". Este es el papel de un firewall. Y posiblemente, una de las razones para tener un firewall podría ser evitar los escaneos de puertos, por cierto.
Tienes que preguntarte cómo nmap decide si un host está "allí", "vivo" o "arriba" o no. Una idea ingenua a menudo es probar y hacer ping, aunque ping es un servicio TCP específico que puede implementarse y habilitarse o no, y que puede estar filtrado o no. Entonces, la regla de oro aquí es: si recibe una respuesta a un paquete de ping, es muy probable que el host esté activo. Si no recibe una respuesta, simplemente no obtuvo mucha información de ese ping.
Habiendo dicho eso, en tus ejemplos, -sN (supongo que esto es lo que quisiste decir porque creo que no hay opción -sn en nmap) y -T4 -F no contradicen los métodos de escaneo, pero en tu segundo ejemplo, lo está dejando a nmap para decidir cómo escanear, lo que significa que se establecerá de forma predeterminada en un escaneo SYN y volverá a un escaneo conectado si no puede realizar un escaneo SYN. Tenga en cuenta que la razón por la cual no puede realizar un escaneo SYN puede ser un problema con el lado del cliente, es decir, los permisos del proceso nmap en sí, no sobre el objetivo del escaneo.
Desde nmap.org:
La técnica [escaneo SNY] a menudo se conoce como escaneo medio abierto, Porque no abres una conexión TCP completa. Envías un paquete SYN, como si fuera a abrir una conexión real y luego esperar una respuesta. Un SYN / ACK indica que el puerto está escuchando (abierto), mientras que RST (reinicio) es indicativo de un no-oyente. Si no hay respuesta recibido después de varias retransmisiones, el puerto está marcado como filtrado. El puerto también está marcado como filtrado si no se puede acceder a un ICMP se recibe un error (tipo 3, código 0, 1, 2, 3, 9, 10 o 13).
En contraste con eso, un escaneo de conexión hace lo que dice. No es una media conexión sino una conexión. (Tenga en cuenta que una diferencia importante es el hecho de que generalmente se ve una conexión en el objetivo, mientras que la mitad de la conexión (escaneo SYN) a menudo no se detecta.
Su ejemplo de -SN en contraste realiza un llamado escaneo nulo. Se llama nulo porque envía paquetes en los que no se establece ninguno de los tres indicadores posibles. Esto profundiza mucho en la implementación de TCP y sería un poco difícil de explicar en detalle en esta respuesta, pero esto es lo que explica nmap.org:
Estos tres tipos de escaneo [...] [de los cuales el escaneo nulo es uno de ellos] explotar una laguna sutil en el TCP RFC para diferenciar entre abierto y puertos cerrados. La página 65 de RFC 793 dice que “si el [destino] el estado del puerto está CERRADO ... un segmento entrante que no contiene un RST hace que se envíe un RST como respuesta ". A continuación, se explica la página siguiente. paquetes enviados para abrir puertos sin el conjunto de bits SYN, RST o ACK, indicando que: "es poco probable que llegue aquí, pero si lo hace, deje caer el Segmento, y retorno. "
Cuando los sistemas de escaneo son compatibles con este texto RFC, cualquier paquete no que contengan bits SYN, RST o ACK dará como resultado un RST devuelto si el el puerto está cerrado y no hay respuesta si el puerto está abierto. Mientras ninguno de esos tres bits está incluido, ninguna combinación de los otros tres (FIN, PSH y URG) están bien.
En otras palabras, mientras que algunos análisis buscan resultados positivos, este buscará resultados negativos.
Ahora puede que desee consultar la configuración de su firewall para comprender cómo el firewall se ocupa de la mitad de las conexiones (es decir, las exploraciones SYN) en una mano o en las exploraciones nulas en la otra. Al menos su firewall parece estar haciendo un buen trabajo al ocultar la topología detrás de él.
Suponiendo que haya permitido todos los puertos para la subred completa a través de su firewall, intente una exploración de conexión:
nmap -sT x.x.x.x / 24
Si eso informa algo más que tus tres hosts conocidos, entonces tienes un problema diferente.
Puedo entender y estar de acuerdo con la mayoría de lo que se dice, pero la declaración de que no hay un comando -sn en NMAP es incorrecta, reemplazó a -sP como un barrido de ping o un escaneo de red y en los documentos de NMAP dice esto:
Esta opción le dice a Nmap que no realice una exploración de puertos después del descubrimiento del host, y que solo imprima los hosts disponibles que respondieron a las sondas de descubrimiento del host.
También proporciona la siguiente información sobre lo que realmente ocurre:
El descubrimiento de host predeterminado realizado con -sn consiste en una solicitud de eco ICMP, TCP SYN al puerto 443, TCP ACK al puerto 80 y una solicitud de marca de tiempo ICMP de forma predeterminada
Si el ASA está bloqueando el tráfico a todas las direcciones en la subred en el otro lado, excepto aquellas con reglas de permiso, NMAP informa que todos los hosts están activos cuando se ejecuta el escaneo de la red -sn. ¿Esto indica algo que está mal con el ASA o he entendido mal la salida?
Tks
Lea otras preguntas en las etiquetas nmap