Eu executei uma pesquisa simples de nmap
e todos os IPs da minha sub-rede são vistos por nmap
como estando ativos, mas com o endereço MAC dos switches. por exemplo:
Nmap scan report for 192.168.21.246
Host is up (0.0053s latency).
All 100 scanned ports on 192.168.21.246 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.247
Host is up (0.0056s latency).
All 100 scanned ports on 192.168.21.247 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.248
Host is up (0.0058s latency).
All 100 scanned ports on 192.168.21.248 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Nmap scan report for 192.168.21.249
Host is up (0.0063s latency).
All 100 scanned ports on 192.168.21.249 are filtered
MAC Address: 00:00:0C:07:AC:0D (Cisco Systems)
Esta é apenas uma verificação rápida ( nmap -T4 -F 192.168.21.1-254
).
Existe alguma configuração de comutação que está falsificando o status desses IPs ou esse é o comportamento normal de nmap
(já passou algum tempo desde a última vez que usei nmap
, mas não me lembro desse comportamento antes e infelizmente eu não tenho outra rede segura com uma pilha diferente de switches de rede para testar isso).
Por fim, esses hosts não respondem ao ping
, por isso não acredito que seja um problema com o ICMP, mas é aqui que meu conhecimento de rede fica um pouco confuso.
edit: para maior clareza, os hosts relatados como up são IPs sem host conectado.
edite 2: Depois de um pouco mais de pesquisa, eu pude determinar que nmap
é o padrão para pings ARP, em vez de eco ICMP (o que as pessoas frequentemente chamam de "ping"). Desabilitar os pings do ARP por meio do sinalizador --disable-arp-ping
agora força os ecos do ICMP e estou vendo apenas os hosts sendo marcados como "para cima" para IPs que literalmente possuem uma máquina física / virtual conectada. Então, esse é um passo na direção certa.
CONTUDO algumas de nossas ferramentas internas de monitoramento de segurança exibem o mesmo problema que nmap
(elas possivelmente usam apenas nmap
em segundo plano) Agora preciso pesquisar uma maneira de configurar nossos switches Cisco não retornar uma entrada ARP para IPs sem um terminal. Mas isso é uma tangente desta questão do StackExchange:)
Tags networking nmap