違いは何ですかTCPポート スキャンとホスト スイープ、および nmap を使用してそれらをテストする方法
15392
Created On 06/14/21 18:11 PM - Last Modified 03/02/23 03:39 AM
Question
nmap を使用してポート スキャンを実行しているときに、代わりにホスト スイープのトリガーが観察されます。TCPポートスキャン。 何故ですか?
ポート スキャンに使用するポート スキャン コマンドは次のとおりです。 nmap -sS -v 192.168.0.0/24
Environment
- Linux / Unix / MacOSまたは Windows プラットフォーム
- nmap インストール済み
Answer
コマンド " nmap -sS -v 192.168.0.0/24 " プローブを有効にして nmap を実行し、SYN最初にポート 80 と 443 へのパケットを受信すると、nmap は「ホストが稼働中です」と報告します。RSTまたはSYN-ACKに応じて。
同じ宛先ポート (80 と 443) で複数の異なるホストをスキャンするため、これによりホスト スイープ検出がトリガーされます。
次に、稼働中であると判断したデバイスに対してウェルノウン ポートのスキャンのみを続行します。
root 権限なしで nmap を実行すると、同じ動作が観察されます。これは、ホスト検出を無効にすることを選択した場合でも発生します。
- 適切に実行されることを確認するには、次のコマンドを実行します。
sudo nmap -Pn -sS -v 192.168.0.0/24
- 既知のポートだけでなく、すべてのポートをスキャンする場合は、次のコマンドを実行する必要があります。
sudo nmap -Pn -sS -v -p- 192.168.0.0/24
- スキャンするポートの順序をランダムにしたくない場合、コマンドは次のようになります。
sudo nmap -Pn -sS -v -r -p- 192.168.0.0/24
- 逆立ちも防ぎたいならDNS解決策:
sudo nmap -Pn -sS -v -r -n -p- 192.168.0.0/24
- スキャナーが配置されているサブネットと同じサブネットでスキャンを実行している場合は、 --send-ip も使用して nmap が活用されないようにします。ARPスキャンの場合、コマンドは次のようになります。
sudo nmap -Pn -sS -v -r -n --send-ip -p- 192.168.0.0/24
Additional Information
のTCPポート スキャン オプションは、同じ宛先に対する個別のポートのスキャンを追跡しますIP住所。 宛先ごとにヒットしたポートのカウンターを保持しますIPスライディングタイムウィンドウ(間隔)内で、十分なヒットが構成されたしきい値を超えるとアラートをトリガーします。 nmap のランダム化は、ランダムなポートのスキャンをランダムな宛先に送信しますIPはサブネットにあります。
これにより、宛先ごとに十分な個別のポートをカウントする可能性が減少しますIP設定された間隔内にあるため、TCPポート スキャン: nmap スキャンからランダム化を削除するか、間隔としきい値を調整して検出の感度を高めます。
最初に推奨される手順は、ランダム化を削除して、アラートがトリガーされることを確認できるようにすることです。firewall . その後、調整作業を開始できます。TCP提供できるポートスキャン感度TCP誤検知を回避しながらポート スキャンを検出します。
内部ゾーンでもホスト スイープを有効にしている場合、定義上、ホスト スイープは通常のインターネット アクティビティと非常に似ています。 ホスト スイープは、別の接続先への接続を追跡しますIPが同じ宛先ポートにある (つまり、宛先ポート 80 または 443 である可能性が高い)FPの)。
簡単に言えば、ホスト スイープとTCPポートスキャンは反対です::
- ホスト スイープは、さまざまな宛先への接続 (イベント) を追跡しますIPスライディング タイム ウィンドウで同じ宛先ポートに送信されます。
- TCP ポート スキャンは、同じ宛先への接続 (イベント) を追跡します。IPスライディング タイム ウィンドウ内のさまざまな宛先ポートへの .
| 注: この記事は情報提供のみを目的として書かれています。 Palo Alto Networks は、サードパーティのオペレーティング システムをサポートしていません。 |