![为什么某些未知主机使用 nmap 选项 -sL 时会显示,而使用 -sn 时却不会显示 [我需要担心它们吗]?](https://linux22.com/image/744013/%E4%B8%BA%E4%BB%80%E4%B9%88%E6%9F%90%E4%BA%9B%E6%9C%AA%E7%9F%A5%E4%B8%BB%E6%9C%BA%E4%BD%BF%E7%94%A8%20nmap%20%E9%80%89%E9%A1%B9%20-sL%20%E6%97%B6%E4%BC%9A%E6%98%BE%E7%A4%BA%EF%BC%8C%E8%80%8C%E4%BD%BF%E7%94%A8%20-sn%20%E6%97%B6%E5%8D%B4%E4%B8%8D%E4%BC%9A%E6%98%BE%E7%A4%BA%20%5B%E6%88%91%E9%9C%80%E8%A6%81%E6%8B%85%E5%BF%83%E5%AE%83%E4%BB%AC%E5%90%97%5D%EF%BC%9F.png)
首次披露
我不是网络工程师,并且我在这方面的专业知识很少。
背景
在使用 nmap 7.70
nmap -sL
查找本地网络(VPN 和防火墙后面)上已知设备的 IP 地址时,我注意到两个我不认识的条目。
我的老板建议我识别并报告它们的 MAC 地址,以便他可以在认为谨慎的情况下监控和禁止它们。
我使用选项-sn[无端口扫描] 来获取更多信息,包括 MAC 地址。但是,当我运行此扫描时,两个无法识别的主机没有出现。
我查看了 arp 缓存,也使用了 arp-scan;出现了两个未知条目,其 MAC 地址描述如下:[如下所示]
? (10.0.0.xxx) at <incomplete> on wlp0xxx [...] ? (10.0.0.yyy) at <incomplete> on wlp0xxx
我对不完整 MAC 地址条目的理解(基于阅读了该系列网站上大量类似的条目)是,这意味着相关主机没有响应传输的 arp 数据包。此外,我知道 arp 属于缓存信息,并不一定反映当前的网络活动。[另外:我已经阅读了 man nmap,但我很确定我无法理解有关选项的一些关键信息]
这对我来说已经足够清楚了;但我不清楚的是 从安全角度来看,我是否需要担心这些无法识别、无响应的主机。
问题 [部分]
因此,我的问题主要有两个部分:
为什么有些主机(在本例中,无法识别的主机,其 MAC 地址不完整)会显示
nmap -sL而不是nmap -sn;这些主机是否代表潜在的攻击或攻击者?如果是,如何在不知道其 MAC 地址的情况下禁止它们?
所讨论的网络主要是无线的;所有有线以太网连接的设备都已考虑在内
类似问题
仅供参考:我查看了以下条目以及更多内容,但无法找到我的问题的完整答案:
答案1
Nmap 的-sL选项是“列表扫描”,这实际上不是网络扫描。它的目的只是列出作为输入给出的目标,无论它们是否存在或响应任何探测。这听起来可能不是很有用,但当您想要发现有关 DNS 记录的信息时,它会派上用场。
Nmap 扫描的第一阶段是正向 DNS 查找。如果您输入了域名,Nmap 将查找该名称对应的 IP 地址,并使用选项-sL将该地址与名称一起输出。接下来,Nmap 通常会检查该地址是否会响应,但-sL会跳过该步骤并直接转到反向 DNS 查找。在此步骤中,Nmap 会发出PTR与 IP 地址对应的记录的请求,以查看是否可以发现该地址的规范 DNS 名称。此名称也将在 的输出中报告-sL。以下是针对“nmap.org”运行的示例:
nmap -sL nmap.org
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-18 21:28 CDT
Nmap scan report for nmap.org (45.33.49.119)
Other addresses for nmap.org (not scanned): 2600:3c01::f03c:91ff:fe98:ff4e
rDNS record for 45.33.49.119: ack.nmap.org
Nmap done: 1 IP address (0 hosts up) scanned in 0.00 seconds
因此,即使目标集中没有任何内容,您也可以看到每个地址的输出部分。如果您看到与地址关联的名称(“rDNS 记录”),则意味着您的 DNS 服务器知道与该地址对应的名称。在集成了 DHCP 和 DNS 的网络上,这可能意味着具有该名称的计算机已连接并获得了该地址的 DHCP 租约,即使它已经离开网络。如果 Nmap 的主机发现 ( nmap -sn) 没有将目标显示为“启动”,则很可能它不在那里,尤其是当您在缓存中显示不完整的 ARP 记录时。
要直接回答如何禁止这些机器的剩余问题,您可以查看 DHCP 日志,看看是否有它们上次连接时的 MAC 地址记录。如果您有 rDNS 记录,您可能能够在 DHCP 服务器上采取行动,检测它们何时再次使用该名称请求租约,尽管这比 MAC 地址更容易被欺骗。