Como o Nmap detecta o endereço MAC?

Navegue suas respostas
0

Aqui eu encontro um fenômeno interessante, que eu recebo um endereço MAC diferente usando diferentes opções do Nmap.

Com o meu Kali OS, eu digito nmap -sS 192.168.1.4 para iniciar uma varredura "semiaberta". 

    Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:38 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE unknown
    49159/tcp open unknown
    MAC Address: 94:XX:XX:XX:XX:XX (Tp-link Technologies)

, em seguida, digito nmap -O 192.168.1.4 para detectar o sistema operacional de destino. 

   Starting Nmap 7.70( https://nmap.org ) at 2018-07-04 12:39 UTC
    Nmap scan report for 192.168.1.4
    Host shown: 999 closed ports
    PORT    STATE SERVICE
    49159/tcp open unknown
    MAC Address: 18:XX:XX:XX:XX:XX( Apple )

Como você vê, eu tenho dois endereços MAC diferentes!

Eu me pergunto por que isso acontece, e que tecnologia o Nmap usa para detectar o SO?

    
por Albert Zhang 04.07.2018 / 15:17

2 respostas

1

Talvez o computador remoto 192.168.1.4 tenha várias NICs. Isso causaria um problema, pois cada NIC tem um endereço MAC diferente e a resposta pode ser enviada por diferentes NICs. Ou, como cada adaptador de rede, como Wi-Fi e ethernet, tem um endereço MAC diferente, talvez o dispositivo remoto estivesse usando uma conexão Wi-Fi e depois fosse alterado para uma conexão Ethernet (ou vice-versa).

Quanto à detecção do sistema operacional, o nmap envia pacotes TCP e UDP para o host remoto e analisa cada parte do pacote de resposta e, com base nos campos do pacote, faz a correspondência com os valores conhecidos. Mais informações sobre isso podem ser encontradas na página de detecção do SO nmap

    
por 04.07.2018 / 16:11
0

O Nmap usa o sniffing de pacotes para detectar respostas a suas sondagens para detecção de host, varredura de porta e descoberta de SO. Sempre que uma resposta válida (ou seja, uma que provavelmente tenha vindo do destino) for recebida e contiver um endereço MAC, o endereço será registrado. Isso significa que, se sondas diferentes receberem respostas diferentes, um endereço MAC diferente pode ser relatado. Esta é uma circunstância muito incomum, já que o MAC alvo seria o mesmo em cada instância. Como a fase de detecção do SO é executada mais tarde do que a fase de varredura de porta, parece que esses probes (enviados principalmente para portas abertas) estão obtendo respostas diferentes das últimas sondagens enviadas na fase de varredura de portas.

Você pode forçar um ou outro resultado usando a opção --send-eth . Algumas plataformas são capazes de enviar pacotes IP brutos e Ethernet, e forçar a criação de quadros Ethernet com --send-eth pode bloquear um endereço MAC e garantir que as respostas do outro não sejam registradas. Isso é um pouco especulativo, embora eu não tenha rastreado essa interação específica através do código-fonte.

    
por 05.07.2018 / 23:12

Tags

Velocidade de download da rede reduzida pela metade Desabilitando a correção automática na borda do microsoft