首次披露
我不是网络工程师,并且我在这方面的专业知识很少。
背景
在使用 nmap 7.70
nmap -sL
查找本地网络(VPN 和防火墙后面)上已知设备的 IP 地址时,我注意到两个我不认识的条目。
我的老板建议我识别并报告它们的 MAC 地址,以便他可以在认为谨慎的情况下监控和禁止它们。
我使用选项-sn
[无端口扫描] 来获取更多信息,包括 MAC 地址。但是,当我运行此扫描时,两个无法识别的主机没有出现。
我查看了 arp 缓存,也使用了 arp-scan;出现了两个未知条目,其 MAC 地址描述如下:[如下所示]
? (10.0.0.xxx) at <incomplete> on wlp0xxx [...] ? (10.0.0.yyy) at <incomplete> on wlp0xxx
我对不完整 MAC 地址条目的理解(基于阅读了该系列网站上大量类似的条目)是,这意味着相关主机没有响应传输的 arp 数据包。此外,我知道 arp 属于缓存信息,并不一定反映当前的网络活动。[另外:我已经阅读了 man nmap,但我很确定我无法理解有关选项的一些关键信息]
这对我来说已经足够清楚了;但我不清楚的是 从安全角度来看,我是否需要担心这些无法识别、无响应的主机。
问题 [部分]
因此,我的问题主要有两个部分:
为什么有些主机(在本例中,无法识别的主机,其 MAC 地址不完整)会显示
nmap -sL
而不是nmap -sn
;这些主机是否代表潜在的攻击或攻击者?如果是,如何在不知道其 MAC 地址的情况下禁止它们?
所讨论的网络主要是无线的;所有有线以太网连接的设备都已考虑在内
类似问题
仅供参考:我查看了以下条目以及更多内容,但无法找到我的问题的完整答案:
答案1
Nmap 的-sL
选项是“列表扫描”,这实际上不是网络扫描。它的目的只是列出作为输入给出的目标,无论它们是否存在或响应任何探测。这听起来可能不是很有用,但当您想要发现有关 DNS 记录的信息时,它会派上用场。
Nmap 扫描的第一阶段是正向 DNS 查找。如果您输入了域名,Nmap 将查找该名称对应的 IP 地址,并使用选项-sL
将该地址与名称一起输出。接下来,Nmap 通常会检查该地址是否会响应,但-sL
会跳过该步骤并直接转到反向 DNS 查找。在此步骤中,Nmap 会发出PTR
与 IP 地址对应的记录的请求,以查看是否可以发现该地址的规范 DNS 名称。此名称也将在 的输出中报告-sL
。以下是针对“nmap.org”运行的示例:
nmap -sL nmap.org
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-18 21:28 CDT
Nmap scan report for nmap.org (45.33.49.119)
Other addresses for nmap.org (not scanned): 2600:3c01::f03c:91ff:fe98:ff4e
rDNS record for 45.33.49.119: ack.nmap.org
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds
因此,即使目标集中没有任何内容,您也可以看到每个地址的输出部分。如果您看到与地址关联的名称(“rDNS 记录”),则意味着您的 DNS 服务器知道与该地址对应的名称。在集成了 DHCP 和 DNS 的网络上,这可能意味着具有该名称的计算机已连接并获得了该地址的 DHCP 租约,即使它已经离开网络。如果 Nmap 的主机发现 ( nmap -sn
) 没有将目标显示为“启动”,则很可能它不在那里,尤其是当您在缓存中显示不完整的 ARP 记录时。
要直接回答如何禁止这些机器的剩余问题,您可以查看 DHCP 日志,看看是否有它们上次连接时的 MAC 地址记录。如果您有 rDNS 记录,您可能能够在 DHCP 服务器上采取行动,检测它们何时再次使用该名称请求租约,尽管这比 MAC 地址更容易被欺骗。