2

Я сканирую две сети (одну из которых я знаю очень хорошо, а другой управляет кто-то другой, а информация скудна). Цель состоит в том, чтобы проверить соответствие (наличие прослушивателя AV на машинах) через nmap -sV -p9999 <network> (упрощенная версия, полная конфигурация настраивает вывод XML и т.д.).

В сети я знаю, что результаты чистые: -sV возвращает непротиворечивую информацию в соответствии с тем, что ожидается (если AV есть - данная строка, если ее нет - другая строка или закрытый порт).

В другой сети, однако, это очень сильно отличается, так как большинство результатов указывают на открытый порт 9999 (пока что нормально), но без информации <service> .

AV (и, следовательно, сервисы) на всех машинах должны быть одинаковыми (таким образом, ожидаемый ответ на запрос сервиса).

Можете ли вы представить, что может блокировать зонды (но не сканировать SYN)? Порт не защищен брандмауэром (состояние "открыто"), так что, может быть, HIPS?

Спасибо за любые подсказки.

|источник

1 ответ1

0

Опция -sV отправляет пару проб, чтобы определить, какая служба и какая версия запущены. Получение «открытого» состояния без обслуживания означает:

  • Не знаю, отпечаток был возвращен.
  • У nmap не было времени, чтобы сделать эти исследования.

Я бы предложил использовать -vv для генерации подробного вывода или --version-trace.

Если вы используете агрессивное время, попробуйте без каких-либо настроек производительности (без -T4, без -A, без --host-timeout и т.д.), Иначе nmap может просто пропустить «определение версии».

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .