Lista inconsistente de hosts encontrados por pings nmap de escaneo a escaneo - tcpdump muestra que las respuestas de eco de ICMP llegaron

Navega tus respuestas
0

Estoy ejecutando nmap periódicamente para monitorear qué hosts están en nuestra subred de servidor: 

rm list; for i in $(seq 1 254) ; do echo 10.10.10.$i >> list ; done
sudo nmap -oG - -PE -sn -iL list

La mayoría de las veces, descubre 28 hosts, pero a veces menos.

He configurado tshark (tcpdump) para capturar todo el tráfico que no sea ssh () y por lo que puedo decir, para algunos hosts, no hay diferencia en el tráfico de red entre cuando nmap informa que un host es "Statups: Up" o no.

Por ejemplo, dos ejecuciones posteriores del script nmap anterior produjeron esta salida:

Escanear 1: 

# Nmap 6.47 scan initiated Fri Aug 10 11:12:57 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.2 (access-switch01.capmon)   Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon)  Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon)  Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon)    Status: Up
Host: 10.10.10.63 (proxmox13.capmon)    Status: Up
Host: 10.10.10.64 (proxmox14.capmon)    Status: Up
Host: 10.10.10.66 (proxmox16.capmon)    Status: Up
Host: 10.10.10.69 (proxmox01.capmon)    Status: Up
Host: 10.10.10.71 (proxmox03.capmon)    Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon)    Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon)    Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon)    Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon)    Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon)  Status: Up
Host: 10.10.10.248 (smsgw2.capmon)  Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:12:58 2018 -- 254 IP addresses (21 hosts up) scanned in 1.05 seconds

Escanear 2: 

# Nmap 6.47 scan initiated Fri Aug 10 11:13:08 2018 as: nmap -oG - -PE -sn -iL list
Host: 10.10.10.1 (capmon-backnet.capmon)    Status: Up
Host: 10.10.10.2 (access-switch01.capmon)   Status: Up
Host: 10.10.10.3 (backnet-switch02.capmon)  Status: Up
Host: 10.10.10.4 () Status: Up
Host: 10.10.10.6 (c5-capmon.capmon) Status: Up
Host: 10.10.10.8 (blackboxserversensor.capmon)  Status: Up
Host: 10.10.10.21 (overvaagning.capmon) Status: Up
Host: 10.10.10.50 (s-nas.capmon)    Status: Up
Host: 10.10.10.63 (proxmox13.capmon)    Status: Up
Host: 10.10.10.64 (proxmox14.capmon)    Status: Up
Host: 10.10.10.65 (proxmox15.capmon)    Status: Up
Host: 10.10.10.66 (proxmox16.capmon)    Status: Up
Host: 10.10.10.69 (proxmox01.capmon)    Status: Up
Host: 10.10.10.71 (proxmox03.capmon)    Status: Up
Host: 10.10.10.72 (proxmox04.capmon)    Status: Up
Host: 10.10.10.73 (proxmox05.capmon)    Status: Up
Host: 10.10.10.91 (proxmox11-imm.capmon)    Status: Up
Host: 10.10.10.92 (proxmox12-imm.capmon)    Status: Up
Host: 10.10.10.93 (proxmox13-imm.capmon)    Status: Up
Host: 10.10.10.94 (proxmox15-imm.capmon)    Status: Up
Host: 10.10.10.95 (proxmox16-imm.capmon)    Status: Up
Host: 10.10.10.100 (nas.capmon) Status: Up
Host: 10.10.10.109 (nessus.capmon)  Status: Up
Host: 10.10.10.122 ()   Status: Up
Host: 10.10.10.248 (smsgw2.capmon)  Status: Up
Host: 10.10.10.249 (smsgw.capmon)   Status: Up
Host: 10.10.10.250 (asa.capmon) Status: Up
Host: 10.10.10.251 (pfsense.capmon) Status: Up
# Nmap done at Fri Aug 10 11:13:10 2018 -- 254 IP addresses (28 hosts up) scanned in 1.73 seconds

He investigado el 10.10.10.1 faltante y, de hecho, no hay una respuesta ICMP Echo para él. Pero por ejemplo 10.10.10.94, parece que el tráfico hacia / desde ese host parece exactamente el mismo para las dos exploraciones: 

> tshark -ta -r 2scans.pcapng -Y 'ip.addr==10.10.10.94'
  633 11:12:58.475808 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x6527, seq=0/0, ttl=59
  639 11:12:58.476203  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x6527, seq=0/0, ttl=63 (request in 633)
  752 11:12:58.589521 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x6823, seq=0/0, ttl=46
  761 11:12:58.589943  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x6823, seq=0/0, ttl=63 (request in 752)
 1413 11:13:10.224663 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x379d, seq=0/0, ttl=45
 1416 11:13:10.225120  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x379d, seq=0/0, ttl=63 (request in 1413)
 1443 11:13:10.324831 172.22.216.210 → 10.10.10.94  ICMP 42 Echo (ping) request  id=0x1e55, seq=0/0, ttl=58
 1446 11:13:10.325277  10.10.10.94 → 172.22.216.210 ICMP 60 Echo (ping) reply    id=0x1e55, seq=0/0, ttl=63 (request in 1443)

¿Alguien puede explicar por qué nmap no informó 10.10.10.94 como en el primer escaneo (paquetes 633-761)?

    
pregunta Peter V. Mørch 10.08.2018 - 11:59
fuente

2 respuestas

0

Para mi caso particular, el problema fue la opción -PE para nmap. Si ejecuto nmap con la opción -PE , encuentra resultados inconsistentes en aproximadamente 1/3 de las ejecuciones, mientras que sin -PE es consistente en varias miles de ejecuciones.

Así que simplemente dejamos de usar -PE .

    
respondido por el Peter V. Mørch 14.08.2018 - 12:28
fuente
0

Parece una instancia de La exploración ARP de Nmap pierde hosts vivos en algunos casos · Problema nº 92 · nmap / nmap - aunque no estoy seguro. Varias personas han visto síntomas similares, pero en el estado actual de este error, nadie tiene idea de por qué.

Quizás esto se introdujo entre las versiones 4.11 y 4.53-1 ~ bpo40 + 1 (número de versión de Debian). Quizás no.

    
respondido por el Peter V. Mørch 12.08.2018 - 15:07
fuente

Lea otras preguntas en las etiquetas

Alternativa inversa de shell de Meterpreter Anulación, filtro XSS