我只是想知道 nmap 如何猜测 IP 地址是负载均衡器?我正在扫描 F5 上虚拟 IP 上的 IP 地址,它正确识别出它是 F5 设备。
它怎么知道?
问候,
乔恩
NMAP 如何知道设备是 F5 负载均衡器
网络工程
f5
2021-07-08 07:02:11
2个回答
NMAP 使用了大量可观察到的功能来猜测设备的操作系统和详细信息。本地主机很容易看到以太网地址,它具有 24 位组织唯一标识符。但是,这些仅适用于本地主机,并且可以通过多种方法进行伪造,并且只能告诉您制造商。因此 NMAP 也使用了操作系统通常选择的许多其他东西,例如 ID 字段、标志等的设置,并且用户随着时间的推移收集了许多不同操作系统的指纹。一些制造商也做出了贡献。
从 NMAP 的手册页:
Nmap 最著名的功能之一是使用 TCP/IP 堆栈指纹进行远程操作系统检测。Nmap 向远程主机发送一系列 TCP 和 UDP 数据包,并几乎检查响应中的每一位。在执行了 TCP ISN 采样、TCP 选项支持和排序、IP ID 采样和初始窗口大小检查等数十项测试后,Nmap 将结果与其 nmap-os-db 进行比较。包含 2,600 多个已知操作系统指纹的数据库
nmap 探测目标机器的开放 TCP/UDP 端口。当它找到一个开放端口时,它会向该端口发送“探测”数据,然后查看返回的内容(如果有的话)。nmap 发送的这种“探测”数据取决于通常预期在该端口可用的众所周知的服务。例如,如果 nmap 检测到 tcp/80 已打开,则 nmap 会发送 HTTP 请求作为探测数据。
nmap 生成的最终报告是从它响应发送到各个端口的探测而返回的响应中合并的。
使用 '-d' 标志运行 nmap 以使其显示正在执行的操作
例如,现在在我的家庭网络中,我的计算机检测到我的宽带路由器是一个运行 dd-wrt 的 tp-link 设备:
desktop:~$ nmap -A -d 192.168.1.1
Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-12 16:02 IST
PORTS: Using top 1000 ports found open (TCP:1000, UDP:0, SCTP:0)
...
...
Initiating Connect Scan at 16:02
Scanning 192.168.1.1 [1000 ports]
Discovered open port 80/tcp on 192.168.1.1
Discovered open port 23/tcp on 192.168.1.1
Discovered open port 53/tcp on 192.168.1.1
Completed Connect Scan at 16:02, 0.11s elapsed (1000 total ports)
Overall sending rates: 9200.99 packets / s.
Initiating Service scan at 16:02
Scanning 3 services on 192.168.1.1
Completed Service scan at 16:02, 6.02s elapsed (3 services on 1 host)
NSE: Script scanning 192.168.1.1.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 16:02
...
...
Not shown: 997 closed ports
Reason: 997 conn-refused
PORT STATE SERVICE REASON VERSION
23/tcp open telnet syn-ack DD-WRT telnetd (DD-WRT v24-sp2 std 03/25/13 r21061)
53/tcp open domain syn-ack dnsmasq 2.45
| dns-nsid:
|_ bind.version: dnsmasq-2.45
80/tcp open http syn-ack DD-WRT milli_httpd
|_http-favicon: Unknown favicon MD5: 9C003F40E63DF95A2B844C6B61448310
| http-methods:
|_ Supported Methods: GET POST
|_http-server-header: httpd
|_http-title: tplink (build 21061) - Info
Service Info: Host: tplink; OS: Linux; Devices: WAP, broadband router; CPE: cpe:/o:linux:linux_kernel
Final times for host: srtt: 11547 rttvar: 122 to: 100000
...
...
另请参阅此链接https://nmap.org/book/vscan.html
脚注:我知道至少有一种情况,对某些知名网络设备供应商制造的设备运行 nmap(带有一些特定选项)实际上会使生产中的设备崩溃。因此,尽管它是测试和验证设备的绝佳工具,但强烈建议不要在生产网络中运行 nmap 并针对网络基础设施。
其它你可能感兴趣的问题