Was ist der Unterschied zwischen TCP Port Scan und Host Sweep und wie können sie mit nmap getestet werden?
15384
Created On 06/14/21 18:11 PM - Last Modified 03/02/23 03:39 AM
Question
Beim Ausführen eines Port-Scans mit nmap beobachten wir, dass Host Sweep anstelle von TCP Port Scan ausgelöst wird. Warum ist das so?
Der Port-Scan-Befehl, den wir für den Port-Scan verwenden, lautet: nmap -sS -v 192.168.0.0/24
Environment
- Linux / Unix / Mac OS oder Windows Plattform
- nmap installiert
Answer
Der Befehl "nmap -sS -v 192.168.0.0/24" führt nmap mit aktiviertem Probing aus, das zuerst ein SYN Paket an die Ports 80 und 443 sendet, und nmap meldet "Host is up", wenn es eine RST oder a SYN-ACK als Antwort empfängt.
Dadurch wird eine Host Sweep-Erkennung ausgelöst, da Sie mehrere verschiedene Hosts auf demselben Zielport (80 und 443) scannen würden.
Es wird dann nur mit dem Scannen bekannter Ports gegen die Geräte fortgefahren, von denen festgestellt wurde, dass sie aktiv sind.
Das gleiche Verhalten wird beobachtet, wenn Sie nmap ohne root-Rechte ausführen, und das passiert auch dann, wenn Sie die Host-Erkennung deaktivieren.
- Um sicherzustellen, dass es ordnungsgemäß ausgeführt wird, sollten Sie den Befehl ausführen:
sudo nmap -Pn -sS -v 192.168.0.0/24
- Wenn Sie stattdessen alle Ports scannen möchten, nicht nur bekannte Ports, sollte der Befehl lauten:
sudo nmap -Pn -sS -v -p- 192.168.0.0/24
- Wenn Sie die Portreihenfolge, in der gescannt wird, nicht zufällig bestimmen möchten, sollte der Befehl wie folgt lauten:
sudo nmap -Pn -sS -v -r -p- 192.168.0.0/24
- Wenn Sie auch die umgekehrte DNS Auflösung verhindern möchten, gehen Sie wie folgt vor:
sudo nmap -Pn -sS -v -r -n -p- 192.168.0.0/24
- Wenn Sie den Scan im selben Subnetz ausführen, in dem sich Ihr Scanner befindet, verwenden Sie auch --send-ip, um zu verhindern, dass nmap für den Scan genutzt wird ARP , dann sollte der Befehl lauten:
sudo nmap -Pn -sS -v -r -n --send-ip -p- 192.168.0.0/24
Additional Information
Die TCP Option Port Scan verfolgt das Scannen verschiedener Ports anhand derselben Zieladresse IP . Es hält einen Zähler der getroffenen Ports pro Ziel IP innerhalb eines gleitenden Zeitfensters (Intervalls) und löst die Warnung aus, wenn genügend Treffer den konfigurierten Schwellenwert überschreiten. NMAP Randomization sendet Scans von zufälligen Ports an zufällige Desintation IP's im Subnetz.
Dies verringert die Wahrscheinlichkeit, dass genügend unterschiedliche Ports pro Ziel IP innerhalb des konfigurierten Intervalls gezählt werden, sodass es einfacher ist, Treffer von TCP Port Scan zu sehen, wenn Sie entweder die Randomisierung aus dem nmap-Scan entfernen oder das Intervall und die Schwellenwerte anpassen, um die Erkennung empfindlicher zu machen.
Der erste vorgeschlagene Schritt besteht darin, die Zufallsgenerierung zu entfernen, damit Sie überprüfen können, ob die Warnungen in .firewall Sie können dann mit der Anpassung der TCP Port-Scan-Empfindlichkeit beginnen, um eine Port-Scan-Erkennung bereitzustellen TCP und gleichzeitig Fehlalarme zu vermeiden.
Wenn Sie Host Sweep auch in einer internen Zone aktiviert haben, ist ein Host Sweep per Definition der normalen Internetaktivität sehr ähnlich. Host Sweep verfolgt die Verbindung, die zu verschiedenen IP's auf demselben Zielport geht (d. h. Zielport 80 oder 443 sind höchstwahrscheinlich FP's).
Kurz gesagt, Host Sweep und TCP Port Scans sind Gegensätze:
- Host Sweep verfolgt Verbindungen (Ereignisse) zu verschiedenen Zielen IPzum gleichen Zielport in einem gleitenden Zeitfenster.
- TCP Port Scan verfolgt Verbindungen (Ereignisse) zu demselben Ziel IPzu verschiedenen Zielports in einem gleitenden Zeitfenster.
| Hinweis: Dieser Artikel dient nur zu Informationszwecken. Palo Alto Networks unterstützt keine Betriebssysteme von Drittanbietern. |