我对端口扫描仪、网络扫描仪和网络映射器之间的区别感到非常困惑。我以为我了解每个的用途,直到我开始 comptia security+ cert 实践,当我遇到 Daniel Lachance 的这个问题时。
问题: 安全审核员必须确定网络上运行的服务器类型。应该使用哪个工具? A. 网络映射器 B. 协议分析器 C. 端口扫描器 D. 病毒扫描仪
答案:
A.网络映射实用程序,例如开源 Cheops 工具 可以映射网络布局并识别运行的操作系统 主机。 B、C、D 错误。协议分析仪仅捕获 传输的网络流量;他们不扫描网络主机或 网络配置。端口扫描器识别侦听端口。病毒 扫描仪检查主机上是否存在恶意软件;他们不扫描 整个网络。
然后我去看了messer教授的软件安全工具 - CompTIA Security+ SY0-501 - 2.2,他说网络扫描仪可以确定IP地址、开放端口、服务器正在运行的服务甚至操作系统。梅瑟教授提供的这个答案将无法解决上一个问题。
然后我查阅了 Darril Gibson 的书,我唯一能找到的是 nmap 是一个网络扫描仪,“包含许多功能,包括识别网络中的所有活动主机及其 IP 地址、每个主机上运行的协议和服务”。这些主机以及主机的操作系统”和 netcat 可以用作端口扫描器来抓取横幅。然后我看了他的练习 comptia security+ 问题,这是另一个现在让我完全困惑的问题。
问题: 您正在对两台服务器之间的问题进行故障排除 网络,需要分析网络流量。在以下选择中,捕获和分析此流量的最佳工具是什么? A. 网络映射器 B. 协议分析器 C. 网络扫描仪 D.SIEM
B.协议分析仪(也称为嗅探器)是最好的选择 捕获并分析网络流量。网络映射器可以检测所有 网络上的设备,网络扫描仪可以检测更多 有关这些设备的信息,但这些工具都不是最好的 选择捕获和分析流量以进行故障排除。 A 安全信息和事件管理(SIEM)系统 聚合并关联来自多个源的日志,但不 捕获网络流量。
现在我了解了协议分析器,这不是问题,但现在我对网络映射器和网络扫描器之间的区别感到困惑。最重要的是,这是 Daniel Gibson 的另一句话:“端口扫描器通常只是简单地 检查已知端口是否打开。例如,SMTP 使用 众所周知的端口 25,因此如果端口 25 开放,系统很可能正在运行 SMTP”
但据我所知,扫描仪了解正在运行的服务的唯一方法是通过端口,如果网络映射器/网络扫描仪无法扫描端口,则无法做到这一点,那么网络扫描仪如何知道正在运行的服务服务在服务器上运行,它是什么类型的服务器以及它如何知道它的操作系统?
我在互联网上搜索它们之间的差异,但除了 nmap 一遍又一遍之外什么也没有出现。
所以我的问题是:
读取网上邻居和扫描局域网的区别在于,读取网上邻居是发现网络上设备的被动方法,而扫描局域网是主动方法。
读取网上邻居涉及监听网络流量并捕获设备广播到网络的信息。这可以揭示设备名称、IP 地址、操作系统和共享资源。但是,此方法可能无法检测到不广播或使用不同协议的设备。
扫描 LAN 涉及向网络上每个可能的 IP 地址发送数据包并等待响应。这可以识别网络上的活动设备、开放端口、服务和漏洞。然而,这种方法可能速度较慢,侵入性更强,并且更容易触发安全警报。
我在我的程序中使用扫描局域网。在程序启动时,我创建一个线程来扫描 LAN,在找到计算机名称后,我也有 IP 地址。尝试一下程序,您可以尝试将桌面便签发送到 LAN 中的其他计算机。