¿Cuál es la diferencia entre TCP Port Scan y Host Sweep y cómo se pueden probar usando nmap
15386
Created On 06/14/21 18:11 PM - Last Modified 03/02/23 03:39 AM
Question
Mientras ejecutamos un escaneo de puertos usando nmap, observamos que se activa el barrido de host en lugar del escaneo de TCP puertos. ¿Por qué?
El comando port scan que usamos para el port scan es: nmap -sS -v 192.168.0.0/24
Environment
- Plataforma Linux / Unix / Mac OS o Windows
- nmap instalado
Answer
El comando "nmap -sS -v 192.168.0.0/24" ejecuta nmap con el sondeo habilitado, que enviará un SYN paquete a los puertos 80 y 443 primero, y nmap informará "El host está activo" si recibe una o una RST SYN-ACK respuesta.
Esto activará una detección de barrido de host, ya que estaría escaneando varios hosts diferentes en el mismo puerto de destino (80 y 443).
Luego solo procederá a escanear puertos conocidos contra los dispositivos que determinó que estaban activos.
Se observará el mismo comportamiento si ejecuta nmap sin privilegios de root, y eso sucederá incluso si elige deshabilitar la detección de hosts.
- Para asegurarse de que funciona correctamente, querrá ejecutar el comando:
sudo nmap -Pn -sS -v 192.168.0.0/24
- Si desea escanear todos los puertos, no solo los puertos conocidos, entonces el comando debe ser:
sudo nmap -Pn -sS -v -p- 192.168.0.0/24
- Si no desea aleatorizar el orden de los puertos en los que se escanea, el comando debe ser:
sudo nmap -Pn -sS -v -r -p- 192.168.0.0/24
- Si también desea evitar la resolución inversa, DNS entonces:
sudo nmap -Pn -sS -v -r -n -p- 192.168.0.0/24
- Si está ejecutando el escaneo en la misma subred donde se encuentra su escáner, utilice también --send-ip para evitar que nmap se aproveche ARP para el análisis, entonces el comando debe ser:
sudo nmap -Pn -sS -v -r -n --send-ip -p- 192.168.0.0/24
Additional Information
La TCP opción Escaneo de puertos rastrea el escaneo de distintos puertos en la misma dirección de destino IP . Mantiene un contador de puertos golpeados por destino IP dentro de una ventana de tiempo deslizante (intervalo) y activa la alerta si suficientes visitas cruzan el umbral configurado. La aleatorización de NMAP enviará escaneos de puertos aleatorios a la desintación IPaleatoria en la subred.
Esto disminuye la probabilidad de contar suficientes puertos distintos por destino IP dentro del intervalo configurado, por lo que será más fácil ver los resultados de Port Scan si elimina la aleatorización del escaneo nmap o ajusta los valores de TCP intervalo y umbral para que la detección sea más sensible.
El primer paso sugerido es eliminar la aleatorización para que pueda comprobar que las alertas se activan en el firewallarchivo . A continuación, puede comenzar a trabajar en el ajuste de la sensibilidad del escaneo de puertos para poder proporcionar TCP detección de escaneo de TCP puertos mientras evita los falsos positivos.
Si también tiene habilitado Host Sweep en una zona interna, por definición, un Host Sweep es muy similar a la actividad normal de Internet. Host Sweep realiza un seguimiento de la conexión que va a diferentes IP's en el mismo puerto de destino (es decir, es muy probable que el puerto de destino 80 o 443 sea FP's).
En pocas palabras, Host Sweep y TCP Port Scans son opuestos:
- Host Sweep realiza un seguimiento de las conexiones (eventos) a diferentes destinos IPal mismo puerto de destino en una ventana de tiempo deslizante.
- TCP Port Scan realiza un seguimiento de las conexiones (eventos) al mismo destino a diferentes puertos de destino IPen una ventana de tiempo deslizante.
| Nota: Este artículo está escrito solo con fines informativos. Palo Alto Networks no es compatible con ningún sistema operativo de terceros. |