Я выполнил простой поиск по nmap и каждый IP в моей подсети рассматривается nmap как работающий , но с MAC-адресом коммутатора. например:
Nmap scan report for 192.168.21.246
Host is up (0.0053s latency).
All 100 scanned ports on 192.168.21.246 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.247
Host is up (0.0056s latency).
All 100 scanned ports on 192.168.21.247 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.248
Host is up (0.0058s latency).
All 100 scanned ports on 192.168.21.248 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.249
Host is up (0.0063s latency).
All 100 scanned ports on 192.168.21.249 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Это просто быстрое сканирование (nmap -T4 -F 192.168.21.1-254).
Есть ли какая-то конфигурация коммутатора, которая подделывает статус этих IP-адресов, или это нормальное поведение nmap (давно я уже пользовался nmap но я не помню этого поведения раньше и, к сожалению, у меня нет другого безопасная сеть с другим стеком сетевых коммутаторов, чтобы проверить это).
Наконец, эти хосты не отвечают на ping поэтому я не считаю, что это проблема с ICMP, но здесь мои знания о сети становятся немного размытыми.
edit: для ясности, хосты, о которых сообщают как о ups, являются IP без присоединенного хоста.
правка 2: После небольшого исследования я смог определить, что nmap по умолчанию использует эхо-запросы ARP, а не эхо-сигналы ICMP (что люди часто называют «эхо-запросами»). Отключение эхо-запросов ARP с помощью флага --disable-arp-ping теперь вызывает эхо-запросы ICMP, и я вижу только хосты, помеченные как "up" для IP-адресов, к которым буквально подключена физическая / виртуальная машина. Так что это шаг в правильном направлении.
ОДНАКО некоторые из наших инструментов внутреннего контроля безопасности демонстрируют ту же проблему, что и nmap (возможно, они просто используют nmap в фоновом режиме). Теперь мне нужно найти способ настроить наши коммутаторы Cisco, чтобы они не возвращали запись ARP для IP-адресов без конечной точки. Но это касается этого вопроса StackExchange :)