為什麼某些未知主機會出現 nmap option-sL 而不是 -sn一個__d我_ned_towory_abouthem_一種ndd這一世n和和d噸這在這rr是一種b這在噸噸H和米and do I need to worry about …
初步披露
我不是網路工程師,我在這方面的專業知識很低。
背景
在使用 nmap 7.70
nmap -sL
查找本地網路上已知設備的 IP 地址時$$ behind VPN and firewall $$,我注意到兩個我不認識的條目。
我的老闆建議我辨識並報告他們的 MAC 地址,以便在謹慎的情況下監控和禁止他們。
我使用了選項
-sn
$$ no port scan $$獲取更多資訊,包括 MAC 地址。但是,當我執行此掃描時,兩個無法辨識的主機並沒有出現。 我查看了arp記憶體,也使用了arp-scan;兩個未知條目都出現了 MAC 地址,描述為$$ as shown below $$
? (10.0.0.xxx) at <incomplete> on wlp0xxx [...] ? (10.0.0.yyy) at <incomplete> on wlp0xxx
我對不完整 MAC 地址條目的理解$$ based on reading a goodly number of similar-ish entries on this family of sites $$是這意味著有問題的主機沒有響應傳輸的arp數據包。另外,我知道 arp 與記憶體資訊有關,不一定反映目前的網路活動。 $$ also : I have read man nmap, but I’m pretty sure I’m failing to understand some key information about the options $$ 這對我來說已經足夠清楚了;但我不清楚的是 ,從安全的角度來看,我是否需要擔心這些無法辨識、無響應的主機。
問題$$ Parts $$
所以,我的問題有兩個主要組成部分:
- 為什麼有些主機
$$ in this case, unrecognized hosts with incomplete MAC addresses $$出現與
nmap -sL
不出現nmap -sn
; 2. 這些主機是否代表潛在的攻擊或攻擊者,如果是,如何在不知道其 MAC 地址的情況下禁止它們?有問題的網路主要是無線的;所有有線乙太網連接的設備都被考慮在內
類似問題
供參考:我查看了以下條目以及更多內容,但無法辨別出我的問題的完整答案:
Nmap 的
-sL
選項是“列表掃描”,實際上並不是網路掃描。它的目的只是列出作為輸入給出的目標,無論它們是否存在或響應任何探測。這聽起來可能不是很有用,但是當您想要發現有關 DNS 記錄的資訊時,它會派上用場。Nmap 掃描的第一階段是正向 DNS 查找。如果您輸入了域名作為輸入,Nmap 將查找該名稱對應的 IP 地址,並使用
-sL
選項輸出該地址和名稱。接下來,Nmap 通常會檢查地址是否會響應,但會-sL
跳過該步驟並直接進行反向 DNS 查找。在此步驟中,Nmap 發出PTR
請求,請求對應於 IP 地址的記錄,以查看是否可以發現該地址的規範 DNS 名稱。此名稱也將在 的輸出中報告-sL
。這是針對“nmap.org”執行的範例:nmap -sL nmap.org Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-18 21:28 CDT Nmap scan report for nmap.org (45.33.49.119) Other addresses for nmap.org (not scanned): 2600:3c01::f03c:91ff:fe98:ff4e rDNS record for 45.33.49.119: ack.nmap.org Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds
因此,您可以期望看到目標集中每個地址的輸出部分,即使那裡什麼也沒有。如果您看到與地址關聯的名稱(“rDNS 記錄”),這意味著您的 DNS 伺服器知道與該地址相關的名稱。在集成了 DHCP 和 DNS 的網路上,這可能意味著連接了具有該名稱的電腦並獲得了該地址的 DHCP 租約,即使它已經離開了網路。
nmap -sn
如果Nmap的主機發現(要直接回答如何禁止這些機器的剩餘問題,您可以查看您的 DHCP 日誌,看看您是否記錄了它們上次連接時的 MAC 地址。如果您有 rDNS 記錄,您可以在 DHCP 伺服器上採取措施來檢測他們何時再次請求使用該名稱的租約,儘管這比 MAC 地址更容易被欺騙。