有什么区别TCP端口扫描和主机扫描以及如何使用 nmap 测试它们
15382
Created On 06/14/21 18:11 PM - Last Modified 03/02/23 03:39 AM
Question
在使用 nmap 运行端口扫描时,我们观察到主机扫描触发而不是TCP端口扫描。 这是为什么?
我们用于端口扫描的端口扫描命令是: nmap -sS -v 192.168.0.0/24
Environment
- Linux / Unix / MacOS或视窗平台
- 已安装 nmap
Answer
命令 ” nmap -sS -v 192.168.0.0/24 " 在启用探测的情况下运行 nmap,它将发送一个SYN首先将数据包发送到端口 80 和 443,如果收到RST或SYN-ACK作为回应。
这将触发主机扫描检测,因为您将在同一目标端口(80 和 443)上扫描多个不同的主机。
然后它只会继续针对它确定已启动的设备扫描知名端口。
如果您在没有 root 权限的情况下运行 nmap,将会观察到相同的行为,即使您选择禁用主机发现也会发生这种情况。
- 为确保它正常运行,您需要运行命令:
须藤 nmap -Pn -sS -v 192.168.0.0/24
- 如果您想改为扫描所有端口,而不仅仅是众所周知的端口,那么命令应该是:
sudo nmap -Pn -sS -v -p- 192.168.0.0/24
- 如果您不想随机化它扫描的端口顺序,那么命令应该是:
须藤 nmap -Pn -sS -v -r -p- 192.168.0.0/24
- 如果你也想防止反向DNS然后解决:
sudo nmap -Pn -sS -v -r -n -p- 192.168.0.0/24
- 如果您在扫描仪所在的同一子网中运行扫描,还可以使用 --send-ip 来防止 nmap 利用ARP对于扫描,那么命令应该是:
sudo nmap -Pn -sS -v -r -n --send-ip -p- 192.168.0.0/24
Additional Information
这TCP端口扫描选项跟踪针对同一目标的不同端口的扫描IP地址。 它保留每个目的地命中的端口计数器IP在滑动时间窗口(间隔)内,如果足够多的命中超过配置的阈值,则触发警报。 nmap 随机化会将随机端口的扫描发送到随机目的地IP在子网中。
这降低了为每个目的地计算足够多的不同端口的可能性IP在配置的时间间隔内,这样会更容易看到TCP端口扫描,如果您从 nmap 扫描中删除随机化,或调整间隔和阈值以使检测更敏感。
建议的第一个步骤是删除随机化,以便您可以验证警报是否在firewall. 然后您可以开始调整TCP端口扫描灵敏度能够提供TCP端口扫描检测,同时避免误报。
如果您还在内部区域中启用了主机扫描,根据定义,主机扫描与常规 Internet 活动非常相似。 主机扫描跟踪连接到不同的IP在同一个目标端口上(即目标端口 80 或 443 很可能是FP的)。
简而言之,主机扫描和TCP端口扫描是相反的::
- 主机扫描跟踪到不同目的地的连接(事件)IP在滑动时间窗口中到达相同的目标端口。
- TCP 端口扫描跟踪到同一目的地的连接(事件)IP在滑动时间窗口中到达不同的目标端口。
| 注意:本文仅供参考。 Palo Alto Networks 不支持任何第三方操作系统。 |