Welcome 微信登录

首页 / 操作系统 / Linux / Nessus 4.4 在VMware Linux下不能正确扫描的问题和测试

一、             遇到的问题<?XML:NAMESPACE PREFIX = O />Nessus在vmware下安装的linux系统里不能扫描外部IP地址,只能对vmware内部IP段进行扫描,具体情况如下环境:(1)vmware下安装的BT4 linux vmware eth0 ip为192.168.11.131,nessus安装在这上面(便于认识以后统称BT4)(2)vmware主机,windows系统,vmware eth0 ip为192.168.11.1(网关)和192.168.11.2(dns),8139网卡eth0 192.168.18.2(真实物理ip)。(便于认识该主机统称WIN)问题:    Nessus默认规则扫描192.168.11.x(vmware网段)正常,扫描结果也都正常。扫描192.168.18.2异常,查看nessus log日志显示18.2主机不在线(实际都是同一台机器)。Log如下
[Fri Jan 21 03:33:02 2011][10704.5530] User hey starts a new scan (<?XML:NAMESPACE PREFIX = ST1 />31c72297-8f06-8745-e775-90f7be11f20673bb9d1353fa91ee)[Fri Jan 21 03:33:02 2011][10704.5530] Reducing max_hosts to 16 (HomeFeed)[Fri Jan 21 03:33:03 2011][10704.5530] user hey starts a new scan. Target(s) : 192.168.11.1,192.168.18.2,211.94.163.99, with max_hosts = 16 and max_checks = 5[Fri Jan 21 03:33:03 2011][10704.5530] user hey : testing 192.168.11.1 (192.168.11.1) [5536][Fri Jan 21 03:33:03 2011][10704.5530] user hey : testing 192.168.18.2 (192.168.18.2) [5537] [Fri Jan 21 03:33:04 2011][10704.5537] user hey : The remote host (192.168.18.2) is dead[Fri Jan 21 03:33:04 2011][10704.5537] Finished testing 192.168.18.2. Time : 1.04 secs [Fri Jan 21 03:33:47 2011][10704.5536] Finished testing 192.168.11.1. Time : 43.80 secs[Fri Jan 21 03:33:48 2011][10704.5530] user hey : test complete[Fri Jan 21 03:33:48 2011][10704.5530] Scan done: 1 hosts up[Fri Jan 21 03:33:48 2011][10704.5530] Total time to scan all hosts : 46 seconds[Fri Jan 21 03:33:51 2011][10704.2] Task 31c72297-8f06-8745-e775-90f7be11f20673bb9d1353fa91ee is finished
分析:    起初怀疑和端口扫描选项有关,于是分别测试一下几种端口扫描方法,1、syn+ping host;2、tcp connect + ping host;3、syn;4、tcp connect这几种方法。结果如下1:syn+ping host,主机不在线2:tcp connect + ping host,主机不在线3:syn,在线,返回大量开放端口信息,全误报,并且无主机cve这类漏洞扫描信息4:tcp connect,主机不在线    然后通过抓包分析,主要分析2种情况,一种主机不在线,一种返回大量误报信息。第一种不在线情况过程(端口扫描选项 ping host、SYN scan)1:BT4 arp请求查找dns服务器192.168.11.2(WIN主机),然后做反向arp请求,dns查询失败2:BT4 做icmp request ID字段为0,WIN icmp replay ID字段为03:BT4 向WIN 发送smtp和60000-60009 SYN请求,下面以其中的SMTP来截图 4:可以看到BT4 先同WIN进行了3次握手建立连接。然后WIN主动发起了FIN关闭,BT4确认后使用reset进行了终止5:BT4用63000端口向WIN 60000端口发起SYN请求,过程如smtp一样,不同是源端口和目的端口每次+1,到63009和60009 reset后停止发送,同时reset smtp,总共42个包,多次测试后发现结束总是60009 reset后smtp reset收尾。第二种大量误报信息过程(端口扫描选项SYN scan)1:全程发送大量数据包约有29000个,过程如下2:DNS请求同第一种情况一样,反向查询3:查询失败后接着发送了srt UDP 32831 à det DUP 9101 请求,返回端口不可达信息4:然后对大量已知TCP端口发送SYN请求,httpfingersmtpftp等等,用http来列举过程如下
 5:如图,3次握手建立连接后,WIN同上一样,发送FIN关闭连接,但BT4这时做了个http1.1 GET请求,然后WIN给予ACK确认,接着BT4 reset关闭该连接。6:其他端口过程基本类似,finger、http此类的会做个get或是help请求,我想是用来识别服务用?,然后就关闭。telnet这种是如同1一样,不做请求而reset关闭。7:最终结果是所有端口关闭后,扫描结束,report主机在线,开放了3188个端口,无风险。8:问题在于1和2的情况下,WIN主机并未开放这些端口,但依然给予了ack握手确认。
  • 1
  • 2
  • 下一页
CentOS 5.3 通过yum命令自动安装升级程序Linux下PHP支持ImageMagick和MagicWandForPHP相关资讯      VMWARE  Nessus 
  • Nessus 多个HTML注入漏洞  (今 20:54)
  • VMware Workstation 12 Pro 发布下  (08/26/2015 19:21:49)
  • VMware推出自家Linux版本 Photon  (04/22/2015 17:27:21)
  • VMware在DockerCon EU宣布开源“  (12/03/2015 13:13:26)
  • 使用VMware克隆功能的一个网络配置  (08/13/2015 20:51:48)
  • VMware推出容器友好的Linux系统  (04/21/2015 11:51:51)
本文评论 查看全部评论 (0)
表情: 姓名: 字数


评论声明
    版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图