web-dev-qa-db-fra.com

Quels sont quelques drapeaux rouges instantanés lors de la numérisation d'un réseau avec NMAP

Lorsque vous effectuez un Nmap Scan à partir d'un réseau externe, quels ports ouverts doivent être un drapeau rouge instantané? Par exemple, si j'étais à Internet ouvert et numérisée www.somewebsite.com, outre port 22, quels autres ports ouverts devrais-je être à l'affût?

penetration-testnmapnetwork-scanners
9
E.N.D

Juste parce qu'un port existe dans une analyse ne suffit pas à soulever un drapeau rouge.

  1. Certains pare-feu ou d'autres mécanismes de protection (Honeyps) le feront ressembler à un port qui est en place quand il n'est pas
  2. Tous les ports ne gèrent pas les services typiques
  3. Tout port qui pourrait sembler suspect sur un réseau peut être enfermé correctement sur un autre
  4. Vous devriez enquêter Tous Ports qui apparaissent dans une analyse de toute façon, de sorte que cela n'a pas vraiment d'importance

Le point est que vous devriez avoir un processus méthodique pour adresser Tous les ports Avec autant de vigueur que le reste, il est donc excité d'un port, en particulier, n'est pas très utile.

3
schroeder

Laissez-moi prendre un coup de poignard pour répondre à l'intention de votre question. Si l'intention de votre question est:

Si je découvre des ports ouverts avec une analyse externe, en supposant qu'il possède le service associé typique avec celui-ci, quelle devrait être ma plus haute priorité d'enquête et/ou de l'adresse?

Permet de commencer avec les données réelles et vivantes. Voici un lien vers Sans Storm Centre https://cc.sans.edu/dashboard.html

Un de ceux-ci est un trafic d'attaque par port. Donc, c'est la confirmation en direct des pirates informatiques qui suivent ces ports/services actuellement. Je dirais que cela devrait être pris très au sérieux. Vous remarquerez 21/22/23 Tops la liste.

Aussi, lors de l'énumération d'une numérisation NMAP, il est bon de regarder aussi ce que l'hôte est. Assurez-vous de vérifier le "Meilleur invité au système d'exploitation". Si c'est clairement une caméra Web, je dirais que c'est un risque beaucoup plus élevé qu'une machine Windows 10. Pourrait ne pas être, mais "dans la nature", l'appareil photo Web exposé à Internet est célèbre pour avoir "possédé". Les appareils multifonctions (comme une imprimante Corp) sont également célèbres pour cela.

https://www.shodan.io/search?query=basic+RealM%3D%22Camera%22+Not+401

En outre, qu'est-ce qui est sur ce réseau? Cela affectera aussi cette réponse. Est-ce un réseau domestique? Si oui, il ne devrait probablement pas être exposé. Les appareils à domicile généralement agissent en tant que clients et ne nécessitent aucune connexion entrante à demander. Donc, dans ce cas, voir un port ouvert est concernant.

Un port très élevé peut également être préoccupé comme étant peut-être un porte-stores. Les pirates informatiques essaieront de les cacher en leur faisant quelque chose comme le port 50505, qui serait capturé avec une balayage NMAP complète, ce qui n'a pas été fait à cause de combien de temps cela prend. Ces ports sont appelés ports "éphémères" et ils peuvent être utilisés par de nombreux services nécessitant plus d'un port, comme un équilibreur de charge, par exemple.

0
bashCypher