Rezultatele NMAP sunt inconsecvente (Securitatea informațiilor, Rețea, Nmap, Scanere De Rețea)

pe lângă a intrebat.

Efectuez o scanare NMAP care rulează continuu. Din anumite motive, rezultatele nu sunt consecvente. Uneori detectează toate dispozitivele conectate din rețeaua locală, iar alteori doar unele dintre ele.

Context despre rețeaua pe care o scanez: Folosesc Ubuntu pentru a crea o rețea locală privată prin partajarea WAN la LAN. Sub-rețeaua mea este 10.42.0.0/24 iar aparatul de scanare este cel care partajează rețeaua.

Parametrii NMAP pe care i-am încercat:

  • nmap 10.42.0.0/24 -O -T4 -F
  • nmap 10.42.0.0/24 -T4 -F
  • nmap 10.42.0.0/24 -O
  • nmap 10.42.0.0/24 -O -Pn
  • nmap 10.42.0.0/24 -O -Pn -e <the local network interface>

În toate testele pe care le fac am această problemă.

EXEMPLU: S1:

$ sudo nmap 10.42.0.0/24 -O -Pn -e eth0
Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-24 13:17 IST
Nmap scan report for Galaxy-S8 (10.42.0.147)
Host is up (0.0094s latency).
All 1000 scanned ports on Galaxy-S8 (10.42.0.147) are closed
MAC Address: ***** (Samsung Electro-mechanics(thailand))
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 256 IP addresses (1 host up) scanned in 13.80 seconds

Scan2:

$ sudo nmap 10.42.0.0/24 -O -Pn -e eth0
Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-24 13:28 IST
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
Nmap scan report for NX (10.42.0.26)
Host is up (0.0031s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
902/tcp  open  iss-realsecure
8082/tcp open  blackice-alerts
MAC Address: **** (Intel Corporate)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 256 IP addresses (1 host up) scanned in 31.74 seconds

Scan3:

$ sudo nmap 10.42.0.0/24 -O -Pn -e eth0
Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-24 13:29 IST
Nmap done: 256 IP addresses (0 hosts up) scanned in 15.98 seconds

Scan4:

$ sudo nmap 10.42.0.0/24 -O -Pn -e eth0
Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-24 13:29 IST
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
RTTVAR has grown to over 2.3 seconds, decreasing to 2.0
Nmap scan report for NX (10.42.0.26)
Host is up (0.015s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
902/tcp  open  iss-realsecure
8082/tcp open  blackice-alerts
MAC Address: **** (Intel Corporate)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

Nmap scan report for Galaxy-S8 (10.42.0.147)
Host is up (0.020s latency).
All 1000 scanned ports on Galaxy-S8 (10.42.0.147) are filtered (828) or closed (172)
MAC Address: **** (Samsung Electro-mechanics(thailand))
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 256 IP addresses (2 hosts up) scanned in 83.02 seconds

Deci, prima scanare a detectat 10.42.0.147
a doua detectată 10.42.0.26
a treia nu a detectat nimic
iar ultima a detectat 10.42.0.26 și 10.42.0.147.

Aș aprecia ajutorul.

1 răspunsuri
Tudor

Am mai văzut acest comportament în nmap și, din experiența mea, nu are legătură cu nmap în sine, ci cu dispozitivele care sunt scanate.

Cred că problema reală aici este firewall-ul dispozitivului care blochează scanarea. Acest lucru se poate datora unor rate diferite, porturi diferite și alte opțiuni personalizate pe firewall-uri (despre care s-ar putea să nici nu știți că există). Unele firewall-uri deschid și închid rapid porturile. Telefonul meu android intra și ieșea din rețea exact așa.

Înainte de a încerca orice altceva, ar trebui să verificați firewall-ul de pe dispozitive. De asemenea, puteți scana mai multe folosind -Pn sau să încercați să utilizați masscan pentru a vedea dacă problema persistă.

Acest lucru nu poate fi calificat ca răspuns, dar cel puțin este ceva de care trebuie să fiți conștienți.