Вопрос или проблема
Я пытался запускать nmap несколько раз для определения ОС, но никогда не добивался успеха. Он выводил “Слишком много отпечатков совпадает с этим хостом, чтобы дать точные детали ОС”, или, например,
Nmap scan report for 192.168.1.106
Host is up (0.0039s latency).
Not shown: 999 закрытых портов
PORT STATE SERVICE VERSION
8080/tcp open http-proxy?
MAC Address: 50:7E:5D:03:A0:4E (Unknown)
Нет точных совпадений ОС для хоста (Если вы знаете, какая ОС работает на нем, смотрите http://nmap.org/submit/).
TCP/IP отпечаток:
OS:SCAN(V=5.21%D=7/20%OT=8080%CT=1%CU=35396%PV=Y%DS=1%DC=D%G=Y%M=507E5D%TM=
OS:53CB353E%P=x86_64-unknown-linux-gnu)SEQ(SP=CB%GCD=1%ISR=CB%TI=Z%CI=Z%II=
OS:I%TS=8)SEQ(SP=CB%GCD=1%ISR=CC%TI=Z%CI=Z%II=I%TS=8)SEQ(SP=CC%GCD=1%ISR=CC
OS:%TI=Z%CI=Z%II=I%TS=8)OPS(O1=M5B4ST11NW4%O2=M5B4ST11NW4%O3=M5B4NNT11NW4%O
OS:4=M5B4ST11NW4%O5=M5B4ST11NW4%O6=M5B4ST11)WIN(W1=16A0%W2=16A0%W3=16A0%W4=
OS:16A0%W5=16A0%W6=16A0)ECN(R=Y%DF=Y%T=40%W=16D0%O=M5B4NNSNW4%CC=Y%Q=)T1(R=
OS:Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%T=40%W=16A0%S=O%A=S
OS:+%F=AS%O=M5B4ST11NW4%RD=0%Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=
OS:)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%
OS:A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%
OS:DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=
OS:40%CD=S)
Расстояние до сети: 1 переход
HOP RTT ADDRESS
1 3.94 ms 192.168.1.106
Кроме того, почти никогда не распознает производителей MAC, в то время как приложение Fing на моем телефоне всегда их находит, например. Это нормально в наше время?
Предоставленный вами отпечаток показывает, что ваша версия Nmap – 5.21 (OS:SCAN(V=5.21), которая была выпущена в январе 2010 года и на данный момент ей 4 года. Список префиксов MAC-адресов, который поставляется с Nmap, берется из данных IEEE OUI, которые обновляются ежедневно с новыми назначениями. Файл отпечатков ОС также сильно устарел, не только из-за новых выпусков ОС, но и потому, что не все старые ОС были оцифрованы. С версии 5.21 до последнего выпуска 6.46 Nmap добавил 1773 новых отпечатков, увеличение на 75%.
Ваш отпечаток на 100% совпадает с “Linux 2.6.17 – 2.6.36”, а MAC-адрес присвоен “Arcadyan Technology”
Я получаю “Слишком много отпечатков совпадает с этим хостом, чтобы дать точные детали ОС” на каждый поиск, который я использую в настоящее время.
Я использую версию 7.91 на Mac. По-видимому, последняя версия 7.95.
Предполагаю, мне может понадобиться последняя версия. Или, возможно, я использую неправильные аргументы.
MAC-адреса, которые меня интересуют, это:
f2:0d:b6:d6:17:b8
и
7a:71:5e:c5:0a:f1
Ответ или решение
Безусловно, сетевой сканер Nmap является эффективным инструментом для определения операционных систем (OS) и сетевых сервисов, однако, как и любой инструмент, он может сталкиваться с определёнными ограничениями и проблемами в процессе идентификации. В данной ситуации, ваш вопрос касается отсутствия точных результатов при попытке определения операционной системы и производителя MAC-адреса устройства в сети. Рассмотрим эти аспекты более подробно.
Теория (Theory):
Понимание принципов работы Nmap поможет вам лучше использовать его потенциал. Nmap использует метод так называемого TCP/IP отпечатка (fingerprinting), чтобы идентифицировать операционные системы. Это значит, что Nmap отправляет набор специфических сетевых пакетов на целевое устройство и анализирует их ответы. На основе паттернов в ответах, Nmap пытается соотнести устройство с известной базой данных отпечатков операционных систем. Однако, существуют некоторые ограничения:
- Обновлённость базы данных: Чем старше версия Nmap, тем более устаревшими могут быть её базы данных отпечатков, что приводит к неудачам в идентификации.
- Сложности с распознаванием: Бывают случаи, когда устройство отвечает таким образом, что его сигнатуры совпадают с несколькими известными системами, что затрудняет точное определение ОС.
- Совместимые устройства и протоколы: Некоторые устройства могут использовать защищенные или закрытые протоколы, что может также привести к затруднениям в идентификации.
Пример (Example):
Как указано в вашем вопросе, Nmap выводит сообщение о том, что слишком много отпечатков совпадают с определённым хостом, и, следовательно, он не предоставляет точные сведения о ОС. Также наблюдается проблема с определением производителя MAC-адреса. Например, Nmap не смог распознать MAC-адрес 50:7E:5D:03:A0:4E, в то время как ваш мобильное приложение Fing определяет его. Это связано с устаревшей версией Nmap 7.91 и использованием устаревшей базы данных, как MAC-адресов, так и отпечатков ОС.
Применение (Application):
Чтобы улучшить результаты, вы можете предпринять несколько шагов:
- Обновление Nmap: Обновите вашу версию Nmap до самой последней. На сегодняшний день это версия 7.95, которая содержит обновлённые базы данных отпечатков и MAC-адресов.
- Оптимизация параметров сканирования: Пересмотрите используемые аргументы для выполнения сканирования. Иногда неправильные параметры могут приводить к менее точным результатам. Используйте аргумент
-Aдля осуществления агрессивного сканирования, которое включает в себя ОС-детекцию, версионное сканирование и трассировку. - Обновление баз данных MAC-адресов: Убедитесь, что базы данных MAC-адресов также обновлены. Можно использовать дополнительные онлайн-ресурсы или базы данных для проверки OUI, такие как IEEE OUI.
- Использование комбинации инструментов: Возможно, Nmap не всегда будет идеальным выбором для вашей задачи. Использование его в сочетании с другими инструментами, такими как те же Fing или Wireshark, может дать более полное представление.
- Изучение сетевой политики и конфигурации: Проверьте, нет ли в сети настроек, блокирующих возможности Nmap по правильной идентификации. Это могут быть неправильно настроенные firewall или IDS/IPS системы, которые могут затруднять определение ОС.
В заключение, обновление инструментария и использование комплексного подхода позволит улучшить точность и полноту данных, получаемых от Nmap. Не забывайте также о важности использования последних данных и технологий для достижения наилучших результатов.