In che modo Nmap rileva l'indirizzo MAC?


0

Qui trovo un fenomeno interessante, che ottengo diversi indirizzi MAC usando diverse opzioni Nmap.

Con il mio sistema operativo Kali, scrivo nmap -sS 192.168.1.4per avviare una scansione "semi-aperta".

    Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:38 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE unknown
    49159/tcp open unknown
    MAC Address: 94:XX:XX:XX:XX:XX (Tp-link Technologies)

quindi scrivo nmap -O 192.168.1.4per rilevare il sistema operativo di destinazione.

   Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:39 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE SERVICE
    49159/tcp open unknown
    MAC Address: 18:XX:XX:XX:XX:XX( Apple )

Come vedi, ho due diversi indirizzi MAC!

Mi chiedo perché ciò accada e quale tecnologia Nmap utilizza per rilevare il sistema operativo?


1
La tua rete ha ripetitori, extender o simili wireless? (Fondamentalmente il tipo che si collega in modalità wireless a un altro router.)
Grawity

Risposte:


1

Forse il computer remoto 192.168.1.4ha più schede di rete. Ciò causerebbe un problema poiché ogni NIC ha un indirizzo MAC diverso e la risposta potrebbe essere inviata da NIC diverse. Oppure, poiché ogni scheda di rete, come Wi-Fi ed Ethernet, ha un indirizzo MAC diverso, forse il dispositivo remoto utilizzava una connessione Wi-Fi e quindi è passato a una connessione Ethernet (o viceversa).

Per quanto riguarda il rilevamento del sistema operativo, nmap invia i pacchetti TCP e UDP all'host remoto e analizza ogni parte del pacchetto di risposta e, sulla base dei campi nel pacchetto, lo confronta con i valori noti. Ulteriori informazioni al riguardo sono disponibili nella pagina di rilevamento del sistema operativo nmap


0

Nmap utilizza lo sniffer di pacchetti per rilevare le risposte ai suoi probe per il rilevamento dell'host, la scansione delle porte e il rilevamento del sistema operativo. Ogni volta che viene ricevuta una risposta valida (cioè che è probabile che provenga dalla destinazione) e che contenga un indirizzo MAC, l'indirizzo viene registrato. Ciò significa che se sonde diverse ricevono risposte diverse, potrebbe essere segnalato un indirizzo MAC diverso. Questa è una circostanza molto insolita, dal momento che il MAC target sarebbe lo stesso in ogni istanza. Poiché la fase di rilevamento del sistema operativo viene eseguita dopo la fase di scansione delle porte, sembrerebbe che quelle sonde (inviate principalmente a porte aperte) stiano ricevendo risposte diverse rispetto alle ultime sonde inviate nella fase di scansione delle porte.

Potresti essere in grado di forzare l'uno o l'altro risultato usando l' --send-ethopzione. Alcune piattaforme sono in grado di inviare sia pacchetti Ethernet grezzi sia pacchetti IP grezzi e forzare la creazione di frame Ethernet con --send-ethpotrebbe bloccare un indirizzo MAC e garantire che le risposte dell'altro non siano registrate. Questo è un po 'speculativo, però, poiché non ho tracciato questa particolare interazione attraverso il codice sorgente.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.