Warum zeigt nmap, dass jeder Host aktiv ist?

1727
laumars

Ich habe eine einfache nmapSuche ausgeführt und jede IP innerhalb meines Subnetzes wird nmapals Up angezeigt, jedoch mit der MAC-Adresse der Switches. z.B:

Nmap scan report for 192.168.21.246 Host is up (0.0053s latency). All 100 scanned ports on 192.168.21.246 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.247 Host is up (0.0056s latency). All 100 scanned ports on 192.168.21.247 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.248 Host is up (0.0058s latency). All 100 scanned ports on 192.168.21.248 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.249 Host is up (0.0063s latency). All 100 scanned ports on 192.168.21.249 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems) 

Dies ist nur ein kurzer Scan ( nmap -T4 -F 192.168.21.1-254).

Gibt es eine Switch-Konfiguration, die den Status dieser IPs spoofet, oder ist dies das normale Verhalten von nmap(es ist eine Weile her, seit ich das letzte Mal verwendet habe, nmapaber ich erinnere mich nicht an dieses Verhalten und leider habe ich kein anderes sicheres Netzwerk mit einem anderen Stack von Netzwerk-Switches, um dies an zu testen).

Letztendlich antworten diese Hosts nicht, pingdaher glaube ich nicht, dass es sich bei ICMP um ein Problem handelt, aber hier wird mein Netzwerkwissen etwas unscharf.

edit: Der Übersichtlichkeit halber werden die Hosts als IP-Adressen angezeigt, an die kein Host angeschlossen ist.

edit 2: Nach etwas mehr Recherche konnte ich feststellen, dass nmapARP-Pings eher als ICMP-Echos verwendet werden (was die Leute oft als "Ping" bezeichnen). Das Deaktivieren von ARP-Pings über das --disable-arp-pingFlag erzwingt jetzt die ICMP-Echos. Ich sehe nur Hosts, die für IPs als "aktiv" markiert sind, an die buchstäblich eine physisch / virtuelle Maschine angeschlossen ist. Das ist also ein Schritt in die richtige Richtung.

JEDOCH einige unserer inneren Sicherheit Monitoring - Tools zeigen das gleiche Problem wie nmap(sie möglicherweise nur verwenden nmapim Hintergrund) Ich muss nun einen Weg erforschen unsere Cisco - Switches zu konfigurieren, keine ARP - Eintrag für IPs ohne einen Endpunkt zurückzukehren. Aber das ist eine Tangente aus dieser StackExchange-Frage :)

1
Abhängig von der Konfiguration dieser Hosts können sie Ping-Anforderungen leicht blockieren. Seth vor 7 Jahren 0
ICMP-Anfragen werden in unserer internen Infrastruktur aktiviert. Ihr Szenario ist jedoch umgekehrt zu dem Problem, bei dem IPs ohne zugewiesenen Host als "up" gemeldet werden. laumars vor 7 Jahren 1

0 Antworten auf die Frage