我进行了简单nmap搜索,发现我的子网内的每个 IP 都处于nmap启动状态,但带有交换机的 MAC 地址。例如:
Nmap scan report for 192.168.21.246
Host is up (0.0053s latency).
All 100 scanned ports on 192.168.21.246 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.247
Host is up (0.0056s latency).
All 100 scanned ports on 192.168.21.247 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.248
Host is up (0.0058s latency).
All 100 scanned ports on 192.168.21.248 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.249
Host is up (0.0063s latency).
All 100 scanned ports on 192.168.21.249 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
这只是一个快速扫描(nmap -T4 -F 192.168.21.1-254)。
是否有一些交换机配置在欺骗这些 IP 的状态,或者这是正常行为nmap(距离我上次使用已经有一段时间了nmap,但我不记得以前有过这种行为,不幸的是我没有另一个具有不同网络交换机堆栈的安全网络可以对此进行测试)。
最后,这些主机没有响应,ping所以我不认为这是 ICMP 的问题,但这是我的网络知识有点模糊的地方。
编辑:为清楚起见,报告为启动的主机是没有连接主机的 IP。
编辑 2:经过进一步研究,我能够确定nmap默认使用 ARP ping 而不是 ICMP 回显(人们通常称之为“ping”)。--disable-arp-ping现在通过标志禁用 ARP ping 会强制使用 ICMP 回显,而且我只看到主机被标记为“启动”,而这些 IP 确实连接了物理/虚拟机。所以这是朝着正确方向迈出的一步。
然而我们的一些内部安全监控工具也出现了同样的问题nmap(它们可能只是nmap在后台使用)。我现在需要研究一种方法来配置我们的 Cisco 交换机,使其不返回没有端点的 IP 的 ARP 条目。但这是与这个 StackExchange 问题无关的 :)