Nmap ตรวจจับที่อยู่ MAC ได้อย่างไร

0

ฉันพบปรากฏการณ์ที่น่าสนใจที่นี่ฉันได้รับที่อยู่ MAC ที่แตกต่างกันโดยใช้ตัวเลือก Nmap ที่แตกต่าง

ด้วย Kali OS ของฉันฉันพิมพ์ nmap -sS 192.168.1.4 เพื่อเริ่มการสแกน "half-open" 

    Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:38 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE unknown
    49159/tcp open unknown
    MAC Address: 94:XX:XX:XX:XX:XX (Tp-link Technologies)

จากนั้นฉันพิมพ์ nmap -O 192.168.1.4 เพื่อตรวจสอบระบบปฏิบัติการของเป้าหมาย 

   Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:39 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE SERVICE
    49159/tcp open unknown
    MAC Address: 18:XX:XX:XX:XX:XX( Apple )

อย่างที่คุณเห็นฉันมีที่อยู่ MAC สองที่แตกต่างกัน!

ฉันสงสัยว่าทำไมสิ่งนี้ถึงเกิดขึ้นและเทคโนโลยี Nmap ใดที่ใช้ตรวจจับระบบปฏิบัติการ

nmap 
Albert Zhang
แหล่งที่มา
1
เครือข่ายของคุณมีตัวเสริมไร้สายอุปกรณ์ต่อขยายหรืออุปกรณ์ที่คล้ายกันหรือไม่? (โดยทั่วไปคือประเภทที่เชื่อมต่อแบบไร้สายกับเราเตอร์อื่น)
grawity

คำตอบ:

1

บางทีคอมพิวเตอร์ระยะไกล 192.168.1.4 มี NIC หลายตัว สิ่งนี้จะทำให้เกิดปัญหาเนื่องจากแต่ละ NIC มีที่อยู่ MAC ที่แตกต่างกันและการตอบสนองอาจถูกส่งจาก NIC ที่แตกต่างกัน หรือเนื่องจากอะแดปเตอร์เครือข่ายแต่ละตัวเช่น Wi-Fi และอีเธอร์เน็ตมีที่อยู่ MAC ที่แตกต่างกันบางทีอุปกรณ์ระยะไกลอาจใช้การเชื่อมต่อ Wi-Fi แล้วเปลี่ยนเป็นการเชื่อมต่ออีเธอร์เน็ต

สำหรับการตรวจจับ OS นั้น nmap จะส่งแพ็คเก็ต TCP และ UDP ไปยังรีโมตโฮสต์และวิเคราะห์แต่ละส่วนของแพ็กเก็ตการตอบสนองและยึดตามฟิลด์ในแพ็คเก็ต ข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้สามารถดูได้ที่ หน้าการตรวจสอบ nmap OS

Aaron Garton
แหล่งที่มา
0

Nmap ใช้การดักจับแพ็คเก็ตในการตรวจสอบการตอบสนองต่อโพรบสำหรับการค้นหาโฮสต์การสแกนพอร์ตและการค้นพบระบบปฏิบัติการ เมื่อใดก็ตามที่ได้รับการตอบสนองที่ถูกต้อง (เช่นที่มีแนวโน้มว่าจะมาจากเป้าหมาย) จะได้รับและมีที่อยู่ MAC ในนั้นที่อยู่นั้นจะถูกบันทึกไว้ ซึ่งหมายความว่าหากโพรบที่แตกต่างกันได้รับการตอบสนองที่แตกต่างกันอาจมีการรายงานที่อยู่ MAC ที่แตกต่างกัน นี่เป็นสถานการณ์ที่ผิดปกติอย่างยิ่งเนื่องจาก MAC เป้าหมายจะเหมือนกันในแต่ละกรณี เนื่องจากเฟสการตรวจจับ OS ทำงานช้ากว่าระยะสแกนพอร์ตดูเหมือนว่าโพรบเหล่านั้น (ส่วนใหญ่ส่งไปยังพอร์ตเปิด) จะได้รับการตอบสนองที่แตกต่างจากโพรบสุดท้ายที่ส่งในเฟสการสแกนพอร์ต

คุณอาจจะสามารถบังคับหนึ่งหรือผลอื่น ๆ โดยใช้ --send-eth ตัวเลือก บางแพลตฟอร์มสามารถส่งได้ทั้งอีเทอร์เน็ตดิบและแพ็คเก็ต IP ดิบและบังคับให้สร้างเฟรมอีเธอร์เน็ตด้วย --send-eth อาจล็อคในที่อยู่ MAC หนึ่งและให้แน่ใจว่าคำตอบจากที่อื่นไม่ได้ลงทะเบียน นี่เป็นการเก็งกำไรเล็กน้อยเนื่องจากฉันไม่ได้ติดตามการโต้ตอบนี้ผ่านซอร์สโค้ด

bonsaiviking
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.