Quelle est la différence entre TCP Port Scan et Host Sweep et comment peuvent-ils être testés à l’aide de nmap
15386
Created On 06/14/21 18:11 PM - Last Modified 03/02/23 03:39 AM
Question
Lors de l’exécution d’une analyse de port à l’aide de nmap, nous observons le déclenchement Host Sweep au lieu de TCP Port Scan. Pourquoi?
La commande d’analyse de port que nous utilisons pour l’analyse de port est : nmap -sS -v 192.168.0.0/24
Environment
- Plate-forme Linux / Unix / Mac OS ou Windows
- nmap installé
Answer
La commande « nmap -sS -v 192.168.0.0/24 » exécute nmap avec le palpage activé, qui enverra d’abord un paquet aux ports 80 et 443, et nmap signalera « Host is up » s’il reçoit un ou un SYN RST SYN-ACK en réponse.
Cela déclenchera une détection Host Sweep, car vous analyseriez plusieurs hôtes différents sur le même port de destination (80 et 443).
Il ne procédera alors qu’à l’analyse des ports bien connus par rapport aux périphériques qu’il a déterminés à être opérationnels.
Le même comportement sera observé si vous exécutez nmap sans privilèges root, et cela se produira même si vous choisissez de désactiver la découverte d’hôte.
- Pour vous assurer qu'il fonctionne correctement, vous souhaitez exécuter la commande:
sudo nmap -Pn -sS -v 192.168.0.0/24
- Si vous souhaitez plutôt analyser tous les ports, pas seulement les ports connus, la commande doit être:
sudo nmap -Pn -sS -v -p- 192.168.0.0/24
- Si vous ne souhaitez pas randomiser l'ordre des ports dans lequel il analyse, la commande doit être :
sudo nmap -Pn -sS -v -r -p- 192.168.0.0/24
- Si vous souhaitez également empêcher la résolution inverse, DNS procédez comme suit :
sudo nmap -Pn -sS -v -r -n -p- 192.168.0.0/24
- Si vous exécutez l’analyse dans le même sous-réseau que celui où se trouve votre analyseur, utilisez également --send-ip pour empêcher nmap de tirer parti ARP de l’analyse, puis la commande doit être :
sudo nmap -Pn -sS -v -r -n --send-ip -p- 192.168.0.0/24
Additional Information
L’option TCP Analyse des ports suit l’analyse de ports distincts par rapport à la même adresse de destination IP . Il conserve un compteur de ports touchés par destination IP dans une fenêtre de temps glissante (intervalle) et déclenche l'alerte si suffisamment d'accès franchissent le seuil configuré. La randomisation nmap enverra des analyses de ports aléatoires à des désintations IPaléatoires dans le sous-réseau.
Cela réduit la probabilité de compter suffisamment de ports distincts par destination IP dans l’intervalle configuré, de sorte qu’il sera plus facile de voir les accès de Port Scan si vous supprimez la randomisation de l’analyse nmap ou ajustez les valeurs d’intervalle et de TCP seuil pour rendre la détection plus sensible.
La première étape suggérée consiste à supprimer la randomisation afin de pouvoir vérifier que les alertes se déclenchent dans le firewallfichier . Vous pouvez ensuite commencer à ajuster la sensibilité de l’analyse des ports pour pouvoir détecter TCP l’analyse TCP des ports tout en évitant les faux positifs.
Si vous avez également activé Host Sweep dans une zone interne, par définition, un Host Sweep est très similaire à une activité Internet normale. Host Sweep garde une trace de la connexion allant à différents IPsur le même port de destination (c'est-à-dire que le port de destination 80 ou 443 est très susceptible d'être FPun .
En un mot, Host Sweep et TCP Port Scans sont opposés :
- Host Sweep garde une trace des connexions (événements) à différentes destinations IPvers le même port de destination dans une fenêtre de temps glissante.
- TCP Port Scan assure le suivi des connexions (événements) vers les mêmes destinations IPvers différents ports de destination dans une fenêtre de temps glissante.
| Remarque : Cet article est rédigé à titre informatif uniquement. Palo Alto Networks ne prend en charge aucun système d’exploitation tiers. |