Я не сетевой инженер, и мой опыт в этой области невелик.
при использовании nmap 7.70 с nmap -sL
Чтобы найти IP-адрес известного устройства в нашей локальной сети [за VPN и брандмауэром], я заметил две записи, которые я не узнал.
Мой начальник посоветовал мне идентифицировать и сообщать их MAC-адреса, чтобы он мог отслеживать и запрещать их, если сочтет это целесообразным.
Я использовал вариант -sn
[без сканирования портов], чтобы получить дополнительную информацию, включая MAC-адреса. Однако, когда я запустил это сканирование, два неопознанных хоста не появились.
Я посмотрел кеш arp, а также использовал arp-scan; обе неизвестные записи появились с MAC-адресами, описанными как [как показано ниже] ? (10.0.0.xxx) at <incomplete> on wlp0xxx
[...]
? (10.0.0.yyy) at <incomplete> on wlp0xxx
Насколько я понимаю, запись с неполным MAC-адресом [основанная на чтении большого количества похожих записей на этом семействе сайтов] заключается в том, что это означает, что рассматриваемый хост не ответил на переданный пакет arp. Кроме того, я знаю, что arp относится к кэшированной информации и не обязательно отражает ток сетевая активность. [также: я прочитал man nmap, но почти уверен, что не понимаю ключевую информацию о параметрах]
Для меня это достаточно ясно; но я не понимаю нужно ли мне беспокоиться об этих нераспознанных, неотзывчивых хостах с точки зрения безопасности.
Итак, мой вопрос состоит из двух основных компонентов:
Почему некоторые хосты [в данном случае нераспознанные хосты с неполными MAC-адресами] отображаются с nmap -sL
и нет nmap -sn
;
Являются ли эти хосты потенциальными атакующими или злоумышленниками, и если да, как их можно заблокировать, не зная их MAC-адресов?
рассматриваемая сеть в основном беспроводная; учитываются все проводные устройства, подключенные к сети Ethernet.
для справки: я просмотрел следующие записи и многое другое, но не смог найти полного ответа на свои вопросы:
Nmap -sL
вариант - это "Просмотр списка", что на самом деле не является сканированием сети. Его цель - просто перечислить цели, которые были заданы в качестве входных данных, независимо от того, существуют ли они или отвечают на какие-либо зонды. Это может показаться не очень полезным, но оно пригодится, когда вы хотите получить информацию о записях DNS.
Первым этапом сканирования Nmap является прямой поиск DNS. Если вы указали доменное имя в качестве входных данных, Nmap будет искать соответствующий IP-адрес для этого имени и с помощью -sL
вариант он выведет этот адрес вместе с именем. Затем Nmap обычно проверяет, ответит ли адрес, но -sL
пропускает этот шаг и сразу переходит к обратному поиску DNS. На этом этапе Nmap выдает PTR
запросить запись, соответствующую IP-адресу, чтобы узнать, можно ли обнаружить каноническое DNS-имя для этого адреса. Это имя также будет указано в выводе -sL
. Вот пример работы с "nmap.org":
nmap -sL nmap.org
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-18 21:28 CDT
Nmap scan report for nmap.org (45.33.49.119)
Other addresses for nmap.org (not scanned): 2600:3c01::f03c:91ff:fe98:ff4e
rDNS record for 45.33.49.119: ack.nmap.org
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds
Таким образом, вы можете ожидать увидеть выходной раздел для каждого адреса в вашем целевом наборе, даже если там ничего нет. Если вы видите имя («запись rDNS»), связанное с адресом, это означает, что ваш DNS-сервер знает имя, которое соответствует этому адресу. В сетях, где DHCP и DNS интегрированы, это может означать, что машина с таким именем подключилась и получила аренду DHCP для этого адреса, даже если с тех пор она покинула сеть. Если обнаружение хоста Nmap (nmap -sn
) не показывает цель как "вверх", то, скорее всего, ее там нет, особенно если вы показываете неполную запись ARP в вашем кэше.
Чтобы напрямую ответить на оставшийся вопрос о том, как эти машины могут быть заблокированы, вы можете посмотреть свои журналы DHCP, чтобы узнать, есть ли у вас запись о том, каким был MAC-адрес при последнем подключении. Если у вас есть запись rDNS, вы можете предпринять действия на DHCP-сервере, чтобы определить, когда они снова запрашивают аренду с этим именем, хотя это еще проще подделать, чем MAC-адрес.