NMAP prezintă mai multe ieșiri în detectarea OS (Securitatea informațiilor, Nmap)

Riley Willow a intrebat.

Experimentez cu NMAP în rețeaua noastră ca temă de lucru și am vrut să fac o scanare OS pe o anumită gazdă 192.168.2.18, pentru care am ales următoarea comandă,

nmap -O 192.168.2.18

și mă așteptam ca rezultatul acestei comenzi să fie FreeBSD, deoarece știu că gazda rulează FreeBSD (așa cum ni s-a spus), dar rezultatul scanării arată mai mult de 2 sisteme de operare, ceea ce este derutant,

Device type: general purpose
Running: Microsoft Windows 7|2012|XP
OS CPE: cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2012 cpe:/o:microsoft:windows_xp::sp3

OS details: Microsoft Windows 7 or Windows Server 2012, Microsoft Windows XP SP3
Service Info: Host: 18; OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd

Am citit despre OS CPE și am aflat că este vorba de „Common Platform Enumeration”, dar nu ar trebui să fie doar unul singur, adică CPE: cpe:/o:freebsd:freebsd ?

Nu înțeleg de ce există 3 CPE-uri, și anume, windows 7, windows 2012 și windows xp. Pot fi ele honeypots?

3 răspunsuri
Mirsad

Poate fi ceva în fața acelei gazde, dar uneori Nmap îți poate da posibilități de near-match, ceea ce mă îndoiesc că este cazul în situația ta.

Atunci când Nmap nu poate detecta o potrivire perfectă a sistemului de operare, uneori oferă ca posibilități near-match-uri.

Dacă cunoașteți acea gazdă, verificați ce servicii rulează pe mașina vizată.

nmap -sV ...

Dacă rezultatul nu se potrivește cu o gazdă pe care o cunoașteți, atunci este evident că detectarea sistemului de operare a venit de la o altă gazdă.

user4294507

Nmap utilizează mai multe tehnici pentru a încerca să prezică sistemul de operare care rulează pe țintă.

Capcana este că niciuna dintre metodele de a face o astfel de amprentă nu este perfectă, așa că încearcă să identifice cea mai probabilă potrivire posibilă.

Vedeți o neconcordanță cu ceea ce vă așteptați să fie sistemul de operare, deoarece nmap a decis că șansele ca această cutie să fie un Windows sunt mai mari decât Freebsd.

Acesta este un exemplu excelent al faptului că instrumentele au întotdeauna nevoie de un creier uman pentru a determina ce este adevărat și ce este fals.

Comentarii

  • Nu sunt sigur că acest lucru adaugă mai mult decât celălalt răspuns –  > Por schroeder.
bonsaiviking

Din cauza naturii stratificate a protocoalelor de rețea, Nmap poate da uneori informații contradictorii. Ceea ce vedeți aici sunt două părți separate ale Nmap care afișează informații despre sistemul de operare țintă.

Partea Running, , OS CPE, , și OS Details sunt produse de către motor de detectare a sistemului de operare (-O), care utilizează informații din straturile de transport (de exemplu, TCP) și de rețea (de exemplu, IP) pentru a lua amprenta stivei TCP/IP, care este, de obicei, strâns legată de tipul și versiunea sistemului de operare. Atunci când amprenta nu este suficient de unică pentru a identifica un singur sistem de operare, pot fi afișate mai multe versiuni ale sistemului de operare.

Site-ul Service Info conține informații colectate de la serviciile de pe țintă prin intermediul funcției motorul de detectare a versiunilor serviciilor și aplicațiilor (-sV). Din cauza NAT, a redirecționării porturilor și a serviciilor proxy, acest lucru poate arăta uneori un sistem de operare diferit de -O arată. Informațiile despre sistemul de operare de aici provin din bannerele de servicii, precum și din serviciile identificate despre care se știe că funcționează doar pe un singur sistem de operare.

Tags: