Согласование nmap, вывод fping

Question

Я пытаюсь понять локальную сеть, в которой я нахожусь. Публичный IP это 23.23.23.23 , скажем. Вывод некоторых распространенных команд:

charles@ely:~$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:26:de:1b brd ff:ff:ff:ff:ff:ff
    inet 192.168.118.216/24 brd 192.168.118.255 scope global eth0
    inet6 fe80::20c:29ff:fe26:de1b/64 scope link 
       valid_lft forever preferred_lft forever


charles@ely:~$ fping -g -a 192.168.118.0 192.168.118.254 2>/dev/null
192.168.118.2
192.168.118.216
192.168.118.1

charles@ely:~$ fping -g -a 23.23.23.0 23.23.23.154 2>/dev/null
23.23.23.1
23.23.23.9
23.23.23.10
23.23.23.33
23.23.23.34
23.23.23.81
23.23.23.82
23.23.23.85
23.23.23.98
23.23.23.99
23.23.23.105
23.23.23.106
23.23.23.109
23.23.23.110
23.23.23.113
23.23.23.121
23.23.23.123
23.23.23.124
23.23.23.129
23.23.23.130
23.23.23.145
23.23.23.153

И Nmap:

charles@ely:~$ nmap -sP 23.23.23.0/24

Starting Nmap 5.21 ( http://nmap.org ) at 2014-01-11 10:04 EST
Nmap scan report for rrcs-23-23-23-34.nyc.noth.noth.com (23.23.23.34)
Host is up (0.20s latency).
Nmap scan report for rrcs-23-23-23-106.nyc.noth.noth.com (23.23.23.106)
Host is up (0.036s latency).
Nmap scan report for rrcs-23-23-23-121.nyc.noth.noth.com (23.23.23.121)
Host is up (0.0094s latency).
Nmap scan report for rrcs-23-23-23-124.nyc.noth.noth.com (23.23.23.124)
Host is up (0.0088s latency).
Nmap scan report for rrcs-23-23-23-130.nyc.noth.noth.com (23.23.23.130)
Host is up (0.034s latency).
Nmap scan report for rrcs-23-23-23-170.nyc.noth.noth.com (23.23.23.170)
Host is up (0.055s latency).
Nmap scan report for rrcs-23-23-23-210.nyc.noth.noth.com (23.23.23.210)
Host is up (0.034s latency).
Nmap scan report for rrcs-23-23-23-214.nyc.noth.noth.com (23.23.23.214)
Host is up (0.087s latency).
Nmap scan report for rrcs-23-23-23-218.nyc.noth.noth.com (23.23.23.218)
Host is up (0.029s latency).
Nmap done: 256 IP addresses (9 hosts up) scanned in 6.60 seconds

Это после выполнения широковещательного пинга в сети.

Я думал, что это даст аналогичные результаты, но они повсюду. Пара вопросов -

1. Почему fping -g -a возвращает разные результаты для внешнего адреса WAN и IP внутренней локальной сети? Где находится мое устройство в первом случае - мое устройство 192.168.1.216?
2. Почему fping и nmap возвращают такие разные результаты против 23.23.23.23?

Благодарю.

Answer 1

1) ваш компьютер принадлежит к очень маленькой сети, 192.168.118.0/24, в которой есть только один дополнительный компьютер помимо маршрутизатора и вашего компьютера.

2) Что касается вопроса 1, когда вы сканируете свою локальную сеть, вы сканируете только все устройства за вашим маршрутизатором (3, как показано первым примером fping): в техническом плане вы сканируете все частные адреса в своей локальной сети. С двумя другими сканированиями вы охватили все публичные адреса в диапазоне 216.224.142.0/24. В большинстве сетей SOHO (= Small Office и HOme), как правило, есть только одно подключение к Интернету, совместно используемое всеми устройствами в локальной сети.

Это означает, что три компонента, обнаруженные первым fping, 192.168.118.1, 192.168.118.2 и 192.168.118.216, скрыты только за одним из 256 адресов в 216.224.142.0/24 (из предоставленной вами информации невозможно вывести какой). Остальные 255 адресов принадлежат кому-то еще.

Ответ на ваш первый вопрос заключается в том, что ПК 192.168.118.2 и 192.168.118.216 не находятся непосредственно в Интернете, а защищены от него маршрутизатором 192.168.118.1. Когда ваш маршрутизатор получает на стороне WAN пакет ping, он не пропустит его на ваш компьютер и другой компьютер, но ответит (или нет, в зависимости от того, как он настроен) напрямую. Таким образом, 192.168.118.2 и 192.168.118.216 никогда не увидят ping-пакеты, которые вы сгенерировали с помощью fping/nmap 216.224.142.0/24.

3) Что касается вашего второго вопроса, причина в том, что два скана пытаются сделать разные вещи. fping, согласно его man-странице, отправляет только честный эхо-запрос ICMP. Вместо этого nmap (см. его справочную страницу) делает следующее:

-sn (No port scan)

Обнаружение хоста по умолчанию, выполненное с -sn, состоит из эхо-запроса ICMP, TCP SYN к порту 443, ACK TCP к порту 80 и запроса метки времени ICMP по умолчанию. При выполнении непривилегированным пользователем только пакеты SYN отправляются (с использованием вызова подключения) на порты 80 и 443 на целевом устройстве. Когда привилегированный пользователь пытается сканировать цели в локальной сети Ethernet, запросы ARP используются, если не указан параметр --send-ip. Опция -sn может быть объединена с любым из типов зондов обнаружения (опции -P *, исключая -Pn) для большей гибкости. Если используются какие-либо из этих типов зондов и параметров номера порта, зонды по умолчанию переопределяются. Когда между исходным хостом, на котором выполняется Nmap, и целевой сетью установлены строгие брандмауэры, рекомендуется использовать эти передовые методы. В противном случае хосты могут быть пропущены, когда брандмауэр отбрасывает зонды или их ответы.

В предыдущих выпусках Nmap -sn был известен как - sP.

Там у вас есть ответ: при выполнении непривилегированным пользователем только SYN-пакеты отправляются (с использованием соединения) на порты 80 и 443 на цели.

Вы выполнили сканирование nmap на стороне WAN как непривилегированный пользователь, поэтому вы не отправляли эхо-пакеты ICMP. Отсюда и разница.