J'ai récemment lancé une analyse de la découverte système avec OpenVas vers une adresse IP de mon réseau pour comparer ses résultats à NMAP. Comme vous pouvez le constater dans l'image OpenVas ne trouve pas tous les ports Nmap.
Les deux scans étaient tous TCP Scanns. De plus, les deux outils sont installés dans la même machine Ubuntu à l'intérieur du même réseau que l'adresse IP numérisée.
Pourquoi cela arrive-t-il?
Après avoir étudié et analyser des données de captures de paquets des deux scans, j'ai découvert la réponse. Apparemment, OpenVas fonctionne de cette façon:
1) TCP 3way Handshake sur le port
2) OpenVas demande différentes questions de protocole célèbres (HTTP, Telnet, etc.) pour obtenir une réponse avec les données (bannières).
3) Si cela obtient des réponses, cela créera un rapport avec toutes ces données et indiquera son ouverture.
3) Si cela ne reçoit pas une réponse pour eux, OpenVas dira qu'il sera fermé car il ne peut pas donner d'autres données sur le service que le port est en cours d'exécution.
Alors, que s'est-il passé avec des ports 27000, 49154, 50095? Ces ports ont des services très rares qui fonctionnent donc OpenVas ne posaient pas de questions pour ces protocoles spécifiques et non habituels. En conséquence, OpenVas n'a pas eu de réponses et a donné à ces ports comme fermé.
D'autre part Nmap Il suffit de répondre à une poignée de main 3way réussie pour donner un port comme ouvert et comme OpenVas, Nmap a obtenu 3way Handshake pour tous ces ports et a fait ne pas essayer d'obtenir d'autres données.
J'espère que je me suis bien expliqué assez bien. Merci à tous pour votre aide et vos conseils.