Il s'agit de la commande ndiff qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ndiff - Utilitaire pour comparer les résultats des analyses Nmap
SYNOPSIS
ndiff [Options] {a.xml} {b.xml}
DESCRIPTION
Ndiff est un outil d'aide à la comparaison des analyses Nmap. Il faut deux fichiers de sortie XML Nmap
et imprime les différences entre eux. Les différences observées sont :
· États de l'hôte (par exemple de haut en bas)
· États du port (par exemple ouvert à fermé)
· Versions de service (à partir de -sV)
· Correspondances OS (de -O)
· Sortie du script
Ndiff, comme la norme diff utilitaire, compare deux analyses à la fois.
OPTIONS EN RÉSUMÉ
-h, --Aidez-moi
Afficher un message d'aide et quitter.
-v, --verbeux
Incluez tous les hôtes et ports dans la sortie, pas seulement ceux qui ont changé.
--texte
Écrire la sortie dans un format texte lisible par l'homme.
--xml
Écrire la sortie au format XML lisible par machine. La structure du document est définie dans le
fichier ndiff.dtd inclus dans la distribution.
Tous les autres arguments sont considérés comme les noms des fichiers de sortie XML Nmap. Il doit y avoir
exactement deux.
EXEMPLE
Utilisons Ndiff pour comparer la sortie de deux analyses Nmap qui utilisent des options différentes. Dans le
d'abord, nous allons faire une analyse rapide (-F), qui analyse moins de ports pour la vitesse. Dans le second, nous allons
scannez le plus grand ensemble de ports par défaut et exécutez un script NSE.
# nmap -F scanme.nmap.org -bœuf scanme-1.xml
# nmap --script=html-titre scanme.nmap.org -bœuf scanme-2.xml
$ ndiff -v scanme-1.xml scanme-2.xml
-Nmap 5.35DC1 au 2010/07/16 12:09
+Nmap 5.35DC1 au 2010/07/16 12:13
scanme.nmap.org (64.13.134.52) :
L'hôte est actif.
-Non affiché : 95 ports filtrés
+Non affiché : 993 ports filtrés
VERSION SERVICE DE L'ÉTAT DU PORT
22 / tcp open ssh
25/tcp fermé smtp
53/tcp domaine ouvert
+70/tcp gopher fermé
80 / tcp ouvrir http
+|_ html-title : Allez-y et ScanMe !
113/tcp authentification fermée
+31337/tcp fermé Elite
Les modifications sont signalées par un - ou un + en début de ligne. Nous pouvons voir à partir de la sortie que
le scan sans le -F L'option d'analyse rapide a trouvé deux ports supplémentaires : 70 et 31337. Le
Le script html-title a produit une sortie supplémentaire pour le port 80. À partir du nombre de ports, nous
peut en déduire que l'analyse rapide a analysé 100 ports (95 filtrés, 3 ouverts et 2 fermés), tandis que
le scan normal a scanné 1000 (993 filtrés, 3 ouverts et 4 fermés).
Le manuel de formation -v (ou --verbeux) à Ndiff l'a fait afficher même les ports qui n'ont pas changé, comme
22 et 25. Sans -v, ils n'auraient pas été montrés.
SORTIE
Il existe deux modes de sortie : texte et XML. La sortie de texte est la valeur par défaut et peut également être
sélectionné avec le --texte option. La sortie de texte ressemble à un diff unifié de la normale de Nmap
sortie terminale. Chaque ligne est précédée d'un caractère indiquant si et comment
modifié. - signifie que la ligne était dans le premier balayage mais pas dans le second ; + le veut dire
était dans le second mais pas dans le premier. Une ligne qui a changé est représentée par une ligne -
suivi d'une ligne +. Les lignes qui n'ont pas changé sont précédées d'un espace.
L'exemple 1 est un exemple de sortie de texte. Ici, le port 80 sur l'hôte
photos-cache-snc1.facebook.com a obtenu une version de service (lighttpd 1.5.0). L'hôte à
69.63.179.25 a changé son nom DNS inversé. L'hôte au 69.63.184.145 était complètement absent
dans le premier scan mais est apparu dans le second.
Exemple 1. Ndiff texte sortie
-Nmap 4.85BETA3 au 2009-03-15 11:00
+Nmap 4.85BETA4 au 2009/03/18 11:00
photos-cache-snc1.facebook.com (69.63.178.41) :
L'hôte est actif.
Non illustré: 99 ports filtrés
VERSION SERVICE DE L'ÉTAT DU PORT
-80/tcp ouvert http
+80/tcp ouvert http lighttpd 1.5.0
-cm.out.snc1.tfbnw.net (69.63.179.25) :
+mailout-snc1.facebook.com (69.63.179.25) :
L'hôte est actif.
Non illustré: 100 ports filtrés
+ 69.63.184.145:
+ L'hôte est actif.
+Non affiché : 98 ports filtrés
+ VERSION SERVICE DE L'ÉTAT DU PORT
+80/tcp ouvert http Apache httpd 1.3.41.fb1
+443/tcp ouvert ssl/http Apache httpd 1.3.41.fb1
La sortie XML, destinée à être traitée par d'autres programmes, est sélectionnée avec le --xml option.
Il est basé sur la sortie XML de Nmap, avec quelques éléments supplémentaires pour indiquer les différences.
Le document XML est inclus dans nmapdiff et scandale éléments. Les différences d'hôte sont
enfermé dans hôtediff les balises et les différences de port sont incluses dans portdiff Mots clés. À l'intérieur d'un
hôtediff or portdiff, a et b les balises indiquent l'état de l'hôte ou du port lors de la première analyse
(a) ou le deuxième balayage (b).
L'exemple 2 montre le diff XML des mêmes analyses montrées ci-dessus dans l'exemple 1. Remarquez comment le port
80 de photos-cache-snc1.facebook.com est enfermé dans portdiff Mots clés. Pour 69.63.179.25, le
l'ancien nom d'hôte est dans a tags et le nouveau est dans b. Pour le nouvel hôte 69.63.184.145, il existe un
b dans le hôtediff sans correspondant a, indiquant qu'il n'y avait aucune information pour
l'hôte lors de la première analyse.
Exemple 2. Ndiff XML sortie
<nom du service="http" produit="Apache httpd"
version="1.3.41.fb1"/>
<nom du service="http" produit="Apache httpd" tunnel="ssl"
version="1.3.41.fb1"/>
PÉRIODIQUE DIFF
En utilisant Nmap, Ndiff, cron et un script shell, il est possible de scanner un réseau quotidiennement et d'obtenir
des rapports par courrier électronique sur l'état du réseau et les changements depuis l'analyse précédente. Exemple 3
montre le script qui le lie ensemble.
Exemple 3. Balayage a réseau périodiquement avec Ndiff et cron
#!/ Bin / sh
CIBLES="objectifs"
OPTIONS="-v -T4 -F -sV"
date=`date +%F`
cd /racine/scans
nmap $OPTIONS $TARGETS -oA scan-$date > /dev/null
if [ -e scan-prev.xml ]; alors
ndiff scan-prev.xml scan-$date.xml > diff-$date
echo "*** RÉSULTATS NDIFF ***"
chat diff-$date
echo
fi
echo "*** RÉSULTATS NMAP ***"
analyse de chat-$date.nmap
ln -sf scan-$date.xml scan-prev.xml
Si le script est enregistré sous /root/scan-ndiff.sh, ajoutez la ligne suivante à la crontab de root :
0 12 * * * /root/scan-ndiff.sh
EXIT CODE
Le code de sortie indique si les scans sont égaux.
· 0 signifie que les scans sont les mêmes dans tous les aspects connus de Ndiff.
· 1 signifie que les analyses diffèrent.
· 2 indique une erreur d'exécution, telle que l'échec d'ouverture d'un fichier.
Utilisez ndiff en ligne à l'aide des services onworks.net
