Почему nmap показывает, что каждый хост работает?

1615
laumars

Я запустил простой nmapпоиск, и каждый IP-адрес в моей подсети виден nmapкак работающий, но с MAC-адресом коммутатора. например:

Nmap scan report for 192.168.21.246 Host is up (0.0053s latency). All 100 scanned ports on 192.168.21.246 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.247 Host is up (0.0056s latency). All 100 scanned ports on 192.168.21.247 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.248 Host is up (0.0058s latency). All 100 scanned ports on 192.168.21.248 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)  Nmap scan report for 192.168.21.249 Host is up (0.0063s latency). All 100 scanned ports on 192.168.21.249 are filtered MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)

Это просто быстрое сканирование ( nmap -T4 -F 192.168.21.1-254).

Существует ли какая-либо конфигурация коммутатора, которая подделывает статус этих IP-адресов, или это нормальное поведение nmap(с тех пор, как я последний раз пользовался этим, прошло довольно много времени, nmapно я не помню такого поведения раньше и, к сожалению, у меня нет другой безопасной сети с другим стеком сетевых коммутаторов, чтобы проверить это).

Наконец, эти хосты не отвечают, pingпоэтому я не верю, что это проблема с ICMP, но здесь мои знания о сети становятся немного размытыми.

edit: для ясности, хосты, о которых сообщают как о ups, являются IP без присоединенного хоста.

редактировать 2: После небольшого исследования я смог определить, что nmapпо умолчанию используется пинг ARP, а не эхо ICMP (то, что люди часто называют «пинг»). Отключение --disable-arp-pingэхо- запросов ARP через флаг теперь вызывает эхо- запросы ICMP, и я вижу только хосты, помеченные как «работающие» для IP-адресов, к которым буквально подключена физическая / виртуальная машина. Так что это шаг в правильном направлении.

ОДНАКО некоторые из наших внутренних инструментов мониторинга безопасности сталкиваются с той же проблемой, что и nmap(они, возможно, просто используют nmapв фоновом режиме). Теперь мне нужно найти способ настроить наши коммутаторы Cisco, чтобы они не возвращали запись ARP для IP-адресов без конечной точки. Но это касается этого вопроса StackExchange :)

1
В зависимости от конфигурации этих хостов они могут легко блокировать запросы ping. Seth 7 лет назад 0
Запросы ICMP включены в нашей внутренней инфраструктуре. Однако ваш сценарий является противоположностью проблемы, с которой я сталкиваюсь, когда IP-адреса без назначенного хоста сообщаются как «вверх». laumars 7 лет назад 1

0 ответов на вопрос

Похожие вопросы