Este es el comando ndiff que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ndiff: utilidad para comparar los resultados de los escaneos de Nmap
SINOPSIS
ndif [opciones] {a.xml} {b.xml}
DESCRIPCIÓN
Ndiff es una herramienta para ayudar en la comparación de escaneos de Nmap. Se necesitan dos archivos de salida XML de Nmap
e imprime las diferencias entre ellos. Las diferencias observadas son:
· Estados de host (por ejemplo, de arriba a abajo)
· Estados del puerto (por ejemplo, abierto a cerrado)
· Versiones de servicio (desde -sv)
· Coincidencias de SO (desde -O)
· Salida de script
Ndiff, como el estándar diff utilidad, compara dos escaneos a la vez.
OPCIONES RESUMEN
-h, --ayuda
Muestre un mensaje de ayuda y salga.
-v, --verboso
Incluya todos los hosts y puertos en la salida, no solo los que han cambiado.
--texto
Escriba la salida en formato de texto legible por humanos.
--xml
Escriba la salida en formato XML legible por máquina. La estructura del documento se define en el
archivo ndiff.dtd incluido en la distribución.
Cualquier otro argumento se toma como los nombres de los archivos de salida XML de Nmap. Debe haber
exactamente dos.
EJEMPLO
Usemos Ndiff para comparar la salida de dos escaneos de Nmap que usan diferentes opciones. En el
primero, haremos un escaneo rápido (-F), que escanea menos puertos en busca de velocidad. En el segundo, vamos a
escanee el conjunto de puertos predeterminado más grande y ejecute un script NSE.
# nmap -F scanme.nmap.org -buey scanme-1.xml
# nmap --script = título-html scanme.nmap.org -buey scanme-2.xml
$ ndif -v scanme-1.xml scanme-2.xml
-Nmap 5.35DC1 en 2010-07-16 12:09
+ Nmap 5.35DC1 en 2010-07-16 12:13
scanme.nmap.org (64.13.134.52):
El anfitrión está activo.
-No se muestra: 95 puertos filtrados
+ No se muestra: 993 puertos filtrados
VERSIÓN DE SERVICIO DE ESTADO PORTUARIO
22 / tcp abrir ssh
25 / tcp smtp cerrado
53 / tcp dominio abierto
+ 70 / tcp tuza cerrada
80 / tcp abre http
+ | _ html-title: ¡Adelante, ScanMe!
113 / tcp cerrado auth
+ 31337 / tcp cerrado Elite
Los cambios están marcados con un - o + al principio de una línea. Podemos ver en la salida que
el escaneo sin el -F La opción de escaneo rápido encontró dos puertos adicionales: 70 y 31337. La
El script html-title produjo una salida adicional para el puerto 80. A partir de los recuentos de puertos,
puede inferir que el escaneo rápido escaneó 100 puertos (95 filtrados, 3 abiertos y 2 cerrados), mientras que
el escaneo normal escaneó 1000 (993 filtrados, 3 abiertos y 4 cerrados).
El elemento -v (o --verboso) a Ndiff hizo que mostrara incluso los puertos que no cambiaron, como
22 y 25. Sin -v, no se habrían mostrado.
SALIDA
Hay dos modos de salida: texto y XML. La salida de texto es la predeterminada y también se puede
seleccionado con el --texto opción. La salida de texto se asemeja a una diferencia unificada de la normal de Nmap
salida terminal. Cada línea está precedida por un carácter que indica si y cómo
cambió. - significa que la línea estaba en el primer escaneo pero no en el segundo; + lo dice en serio
estaba en el segundo pero no en el primero. Una línea que cambió está representada por una - línea
seguido de una línea +. Las líneas que no cambiaron están precedidas por un espacio en blanco.
El ejemplo 1 es un ejemplo de salida de texto. Aquí, puerto 80 en el host
photos-cache-snc1.facebook.com obtuvo una versión de servicio (lighttpd 1.5.0). El anfitrión en
69.63.179.25 cambió su nombre DNS inverso. El anfitrión en 69.63.184.145 estaba completamente ausente
en el primer escaneo, pero apareció en el segundo.
Ejemplo 1. ndiff texto salida
-Nmap 4.85BETA3 el 2009-03-15 11:00
+ Nmap 4.85BETA4 el 2009-03-18 11:00
fotos-caché-snc1.facebook.com (69.63.178.41):
El anfitrión está activo.
No mostrado: 99 puertos filtrados
VERSIÓN DE SERVICIO DE ESTADO PORTUARIO
-80 / tcp abre http
+ 80 / tcp abre http lighttpd 1.5.0
-cm.fuera.snc1.tfbnw.net (69.63.179.25):
+ mailout-snc1.facebook.com (69.63.179.25):
El anfitrión está activo.
No mostrado: 100 puertos filtrados
+ 69.63.184.145:
+ El anfitrión está activo.
+ No se muestra: 98 puertos filtrados
+ VERSIÓN DE SERVICIO DE ESTADO PORTUARIO
+ 80 / tcp abre http Apache httpd 1.3.41.fb1
+ 443 / tcp open ssl / http Apache httpd 1.3.41.fb1
La salida XML, destinada a ser procesada por otros programas, se selecciona con la --xml .
Se basa en la salida XML de Nmap, con algunos elementos adicionales para indicar diferencias.
El documento XML se incluye en nmapdiff y escándalo elementos. Las diferencias de host son
Adjunto en anfitrion Las etiquetas y las diferencias de puerto se incluyen en puertodiff etiquetas. Dentro de una
anfitrion or puertodiff, a y b las etiquetas muestran el estado del host o puerto en el primer escaneo
(a) o el segundo escaneo (b).
El ejemplo 2 muestra la diferencia XML de los mismos análisis que se muestran arriba en el ejemplo 1. Observe cómo el puerto
80 de photos-cache-snc1.facebook.com está incluido en puertodiff etiquetas. Para 69.63.179.25, el
antiguo nombre de host está en a etiquetas y la nueva está en b. Para el nuevo host 69.63.184.145, hay un
b en la sección de anfitrion sin un correspondiente a, lo que indica que no había información para
el host en el primer escaneo.
Ejemplo 2. ndiff XML salida
<nombre del servicio="http" producto="Apache httpd"
version = "1.3.41.fb1" />
<nombre del servicio="http" producto="Apache httpd" túnel="ssl"
version = "1.3.41.fb1" />
PERIÓDICO DIFERENCIAS
Usando Nmap, Ndiff, cron y un script de shell, es posible escanear una red diariamente y obtener
informes por correo electrónico sobre el estado de la red y los cambios desde el análisis anterior. Ejemplo 3
muestra el guión que lo une.
Ejemplo 3. Escaneado a del sistema, periódicamente con ndiff y cron
#!/ Bin / sh
OBJETIVOS = "tiene como objetivo"
OPCIONES = "- v -T4 -F -sV"
fecha = `fecha +% F`
cd / root / escaneos
nmap $ OPTIONS $ TARGETS -oA scan- $ date> / dev / null
if [-e scan-prev.xml]; luego
ndiff scan-prev.xml scan- $ date.xml> diff- $ date
echo "*** RESULTADOS NDIFF ***"
cat diff- $ fecha
echo
fi
echo "*** RESULTADOS NMAP ***"
escaneo de gato- $ date.nmap
ln -sf scan- $ date.xml scan-prev.xml
Si el script se guarda como /root/scan-ndiff.sh, agregue la siguiente línea al crontab de root:
0 12 * * * /raíz/escanear-ndiff.sh
SALIR CÓDIGO
El código de salida indica si los escaneos son iguales.
· 0 significa que los escaneos son los mismos en todos los aspectos que conoce Ndiff.
· 1 significa que los escaneos son diferentes.
· 2 indica un error en tiempo de ejecución, como no poder abrir un archivo.
Use ndiff en línea usando los servicios de onworks.net
