Wie erkennt Nmap die MAC-Adresse?

1023
Albert Zhang

Hier finde ich ein interessantes Phänomen, dass ich unterschiedliche MAC-Adressen mit verschiedenen Nmap-Optionen bekomme.

Bei meinem Kali OS tippe ich nmap -sS 192.168.1.4, um einen "halboffenen" Scan zu starten.

 Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:38 UTC Nmap scan report for 192.168.1.4 Host shown: 999 closed ports PORT STATE unknown 49159/tcp open unknown MAC Address: 94:XX:XX:XX:XX:XX (Tp-link Technologies) 

dann nmap -O 192.168.1.4tippe ich, um das Betriebssystem des Ziels zu erkennen.

 Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:39 UTC Nmap scan report for 192.168.1.4 Host shown: 999 closed ports PORT STATE SERVICE 49159/tcp open unknown MAC Address: 18:XX:XX:XX:XX:XX( Apple ) 

Wie Sie sehen, habe ich zwei verschiedene MAC-Adressen!

Ich frage mich, warum dies geschieht und mit welcher Technologie Nmap das Betriebssystem erkennt.

0
Verfügt Ihr Netzwerk über WLAN-Repeater, Extender oder ähnliches? (Grundsätzlich die Art, die drahtlos mit einem anderen Router verbunden ist.) grawity vor 6 Jahren 1

2 Antworten auf die Frage

1
Aaron Garton

Möglicherweise verfügt der Remotecomputer 192.168.1.4über mehrere Netzwerkkarten. Dies würde ein Problem verursachen, da jede NIC eine andere MAC-Adresse hat und die Antwort möglicherweise von verschiedenen NICs gesendet wird. Da jeder Netzwerkadapter (z. B. WLAN und Ethernet) eine andere MAC-Adresse hat, hat das entfernte Gerät möglicherweise eine WLAN-Verbindung verwendet und dann zu einer Ethernet-Verbindung (oder umgekehrt) gewechselt.

Bei der Betriebssystemerkennung sendet nmap TCP- und UDP-Pakete an den Remote-Host und analysiert jeden Teil des Antwortpakets. Basierend auf Feldern im Paket vergleicht es mit bekannten Werten. Weitere Informationen hierzu finden Sie auf der nmap OS-Erkennungsseite

0
bonsaiviking

Nmap verwendet das Packet-Sniffing, um Antworten auf seine Tests für die Hostermittlung, das Scannen von Ports und die Erkennung des Betriebssystems zu ermitteln. Jedes Mal, wenn eine gültige Antwort (dh eine, die wahrscheinlich vom Ziel gekommen ist) empfangen wird und eine MAC-Adresse enthält, wird die Adresse aufgezeichnet. Dies bedeutet, dass, wenn verschiedene Tests unterschiedliche Antworten erhalten, eine andere MAC-Adresse gemeldet wird. Dies ist jedoch ein sehr ungewöhnlicher Umstand, da der Ziel-MAC in jedem Fall derselbe wäre. Da die Betriebssystemerkennungsphase später als die Port-Scan-Phase abläuft, scheint es, als würden diese Sonden (die meistens an offene Ports gesendet werden) andere Antworten erhalten als die letzten in der Port-Scan-Phase gesendeten Sonden.

Sie können möglicherweise das eine oder andere Ergebnis mit der --send-ethOption erzwingen . Einige Plattformen können sowohl Raw-Ethernet- als auch Raw-IP-Pakete senden, und das Erzwingen des Ethernet-Frame-Buildings mit einer Verbindung --send-ethkann eine MAC-Adresse sperren und sicherstellen, dass die Antworten der anderen nicht registriert werden. Dies ist jedoch etwas spekulativ, da ich diese spezielle Interaktion nicht durch den Quellcode verfolgt habe.