Вопрос: Согласование nmap, выход fping


Я пытаюсь понять местную сеть, в которой я работаю. Публичный IP-адрес 23.23.23.23, сказать. Вывод некоторых общих команд:

charles@ely:~$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:26:de:1b brd ff:ff:ff:ff:ff:ff
    inet 192.168.118.216/24 brd 192.168.118.255 scope global eth0
    inet6 fe80::20c:29ff:fe26:de1b/64 scope link 
       valid_lft forever preferred_lft forever


charles@ely:~$ fping -g -a 192.168.118.0 192.168.118.254 2>/dev/null
192.168.118.2
192.168.118.216
192.168.118.1

charles@ely:~$ fping -g -a 23.23.23.0 23.23.23.154 2>/dev/null
23.23.23.1
23.23.23.9
23.23.23.10
23.23.23.33
23.23.23.34
23.23.23.81
23.23.23.82
23.23.23.85
23.23.23.98
23.23.23.99
23.23.23.105
23.23.23.106
23.23.23.109
23.23.23.110
23.23.23.113
23.23.23.121
23.23.23.123
23.23.23.124
23.23.23.129
23.23.23.130
23.23.23.145
23.23.23.153

И nmap:

charles@ely:~$ nmap -sP 23.23.23.0/24

Starting Nmap 5.21 ( http://nmap.org ) at 2014-01-11 10:04 EST
Nmap scan report for rrcs-23-23-23-34.nyc.noth.noth.com (23.23.23.34)
Host is up (0.20s latency).
Nmap scan report for rrcs-23-23-23-106.nyc.noth.noth.com (23.23.23.106)
Host is up (0.036s latency).
Nmap scan report for rrcs-23-23-23-121.nyc.noth.noth.com (23.23.23.121)
Host is up (0.0094s latency).
Nmap scan report for rrcs-23-23-23-124.nyc.noth.noth.com (23.23.23.124)
Host is up (0.0088s latency).
Nmap scan report for rrcs-23-23-23-130.nyc.noth.noth.com (23.23.23.130)
Host is up (0.034s latency).
Nmap scan report for rrcs-23-23-23-170.nyc.noth.noth.com (23.23.23.170)
Host is up (0.055s latency).
Nmap scan report for rrcs-23-23-23-210.nyc.noth.noth.com (23.23.23.210)
Host is up (0.034s latency).
Nmap scan report for rrcs-23-23-23-214.nyc.noth.noth.com (23.23.23.214)
Host is up (0.087s latency).
Nmap scan report for rrcs-23-23-23-218.nyc.noth.noth.com (23.23.23.218)
Host is up (0.029s latency).
Nmap done: 256 IP addresses (9 hosts up) scanned in 6.60 seconds

Это происходит после проведения широковещательного пинга в сети.

Я бы сказал, что это даст похожие результаты, но они повсюду. Несколько вопросов -

  1. Почему fping -g -a возвращать разные результаты для внешнего WAN-адреса и внутреннего локального IP-адреса? Где мое устройство в первом случае - мое устройство 192.168.1.216?
  2. Почему fping а также nmap возвращать такие разные результаты против 23.23.23.23?

Благодарю.


1
2018-01-11 15:12


Источник




Ответы:


1) ваш компьютер принадлежит к очень маленькой сети, 192.168.118.0/24, которая имеет только один дополнительный компьютер, помимо маршрутизатора и вашего компьютера.

2) Что касается вопроса 1, при сканировании вашей локальной сети вы сканируете только все ПК за маршрутизатором (3, как показано первым экземпляром Fping): в техническом плане вы сканируете все частный адресов в вашей локальной сети. С двумя другими сканами вы охватили все общественности адресов в диапазоне 216.224.142.0/24. В большинстве сетей SOHO (= Small Office и HOme) обычно есть только одно подключение к Интернету, которое используется всеми ПК в локальной сети.

Это означает, что три компонента, обнаруженные первым Fping, 192.168.118.1, 192.168.118.2 и 192.168.118.216, скрыты только за одним из 256 адресов в 216.224.142.0/24 (из информации, которую вы предоставили, невозможно определить какой из них). Другие 255 адресов принадлежат кому-то другому.

Ответ на ваш первый вопрос заключается в том, что ПК 192.168.118.2 и 192.168.118.216 не находятся непосредственно в Интернете, но защищены от него 192.168.118.1, маршрутизатором. Когда ваш маршрутизатор получает на стороне WAN пакет ping, он не пропускает его на ваш компьютер и на другой компьютер, но будет отвечать (или нет, в зависимости от того, как он настроен) напрямую. Поэтому 192.168.118.2 и 192.168.118.216 никогда не будут видеть пакеты ping, которые вы создали с помощью fping / nmap 216.224.142.0/24.

3) Согласно вашему второму вопросу, причина в том, что два сканирования пытаются делать разные вещи. Fping, согласно своей странице руководства, отправляет только честный ICMP-запрос эха. птар, вместо этого (см. его справочная страница) делает следующее:

-sn (No port scan)

Обнаружение узла по умолчанию, выполненное с помощью -sn, состоит из запроса эхолота ICMP, TCP SYN на порт 443, TCP ACK на порт 80 и запроса метки времени ICMP по умолчанию. При выполнении непривилегированным пользователем только SYN-пакеты отправляются (используя вызов соединения) на порты 80 и 443 на цель. Когда привилегированный пользователь пытается сканировать цели в локальной сети Ethernet, ARP-запросы используются, если не указан параметр -send-ip. Опцию -sn можно комбинировать с любыми типами зон обнаружения (опции -P *, исключая -Pn) для большей гибкости. Если используется какой-либо из этих типов зонда и номера порта, зонды по умолчанию переопределены. Когда строгие брандмауэры находятся на месте между исходным хостом, работающим с Nmap и целевой сетью, рекомендуется использовать эти усовершенствованные методы. В противном случае хосты могут быть пропущены, если брандмауэр отбрасывает пробники или их ответы.

В предыдущих выпусках Nmap -sn был известен как -зр,

Там у вас есть ответ: При выполнении непривилегированным пользователем только SYN-пакеты отправляются (используя вызов соединения) в порты 80 и 443 на целевом,

Вы выполнили сканирование nmap на стороне WAN в качестве незащищенного пользователя, поэтому вы не отправляли эхо-пакеты ICMP. Отсюда и различие.


2
2018-01-11 15:52



: Что касается ваших ответов, сообщите мне, если я здесь правильно - 1). Я думал, что увижу меньше Ips, когда я буду публиковать IP-адрес из-за natting. Думаю, что нет - я вижу публичный IP и многие полностью несвязанные IP-адреса в одном диапазоне? 2). Поэтому, не вызывая при привилегированном пользователе, я видел только ответы пакетов из портов http и https (возможно) и получал несвязанное подмножество того, что я хотел видеть. Кроме того, для обнаружения локальных ПК я должен действительно прослушивать диапазон 192.168.118.0/24. - Charles Pehlivanian
Правильно. Вы не можете видеть за пределами маршрутизатора NAT, нет никакого способа сделать это; маршрутизатор не пропускает ваши пакеты. Чтобы обнаружить локальные ПК в ваш LAN (что, вы Можно do), вы должны сканировать 192.168.118.0/24. Попробуйте sudo nmap -T5 -A 192.168.118.0/24, это даст вам много информации. Вы действительно видите свой собственный публичный IP и многие несвязанные другие сети. Вы видели меньше ответов с nmap, потому что вы не вызывали его как sudo. Точка 2 полностью правильная. - MariusMatutiae
Отлично - спасибо. - Charles Pehlivanian