Jest to polecenie ndiff, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
ndiff - Narzędzie do porównywania wyników skanów Nmapa
STRESZCZENIE
inny [Opcje] {a.xml} {b.xml}
OPIS
Ndiff to narzędzie pomagające w porównywaniu skanów Nmap. Wymaga dwóch plików wyjściowych Nmap XML
i drukuje różnice między nimi. Zaobserwowane różnice to:
· Stany hosta (np. od góry do dołu)
· Stany portów (np. otwarte do zamkniętych)
· Wersje serwisowe (od -sV)
· Dopasowania systemu operacyjnego (od -O)
· Wyjście skryptu
Ndiff, jak standard diff Narzędzie porównuje dwa skany jednocześnie.
OPCJE PODSUMOWANIE
-h, --help
Pokaż komunikat pomocy i wyjdź.
-v, --gadatliwy
Uwzględnij w danych wyjściowych wszystkie hosty i porty, a nie tylko te, które uległy zmianie.
--tekst
Zapisz dane wyjściowe w formacie tekstowym czytelnym dla człowieka.
--xml
Zapisz dane wyjściowe w formacie XML do odczytu maszynowego. Struktura dokumentu jest zdefiniowana w
plik ndiff.dtd zawarty w dystrybucji.
Wszelkie inne argumenty są traktowane jako nazwy plików wyjściowych XML Nmapa. Musi być
dokładnie dwa.
PRZYKŁAD
Użyjmy Ndiff do porównania wyników dwóch skanów Nmap, które używają różnych opcji. w
najpierw wykonamy szybkie skanowanie (-F), który skanuje mniej portów pod kątem szybkości. W drugim będziemy
przeskanuj większy domyślny zestaw portów i uruchom skrypt NSE.
# nmap -F scanme.nmap.org -wół scanme-1.xml
# nmap --script=tytuł-html scanme.nmap.org -wół scanme-2.xml
$ inny -v scanme-1.xml scanme-2.xml
-Nmap 5.35DC1 na 2010-07-16 12:09
+Nmap 5.35DC1 na 2010-07-16 12:13
scanme.nmap.org (64.13.134.52):
Gospodarz wstał.
-Nie pokazano: 95 filtrowanych portów
+Nie pokazano: 993 filtrowane porty
WERSJA SERWISOWA W STANIE PORTU
22 / tcp open ssh
25/tcp zamknięty smtp
Otwarta domena 53/tcp
+70/tcp zamknięty świstak
80/tcp otwórz http
+|_ html-title: Śmiało, przeskanuj mnie!
113/tcp zamknięte uwierzytelnianie
+31337/tcp zamknięta elita
Zmiany są oznaczone znakiem - lub + na początku wiersza. Widzimy to na wyjściu
skan bez -F Opcja szybkiego skanowania znalazła dwa dodatkowe porty: 70 i 31337. The
skrypt html-title wygenerował dodatkowe dane wyjściowe dla portu 80. Z liczby portów my
może wywnioskować, że szybkie skanowanie przeskanowało 100 portów (95 przefiltrowanych, 3 otwarte i 2 zamknięte), podczas gdy
normalny skan zeskanował 1000 (993 przefiltrowanych, 3 otwartych i 4 zamkniętych).
-v (lub --gadatliwy) opcja Ndiff sprawiła, że pokazywał nawet porty, które się nie zmieniły, na przykład
22 i 25. Bez -v, nie zostałyby pokazane.
WYDAJNOŚĆ
Istnieją dwa tryby wyjścia: tekstowy i XML. Wyjście tekstowe jest domyślne i może być również
wybrany z --tekst opcja. Wyjście tekstowe przypomina zunifikowaną różnicę normalnej Nmapa
wyjście terminala. Każdy wiersz poprzedzony jest znakiem wskazującym, czy iw jaki sposób
zmienione. - oznacza, że linia była w pierwszym skanie, ale nie w drugim; + oznacza to
był w drugim, ale nie w pierwszym. Linia, która uległa zmianie, jest reprezentowana przez linię -
po którym następuje linia +. Wiersze, które nie uległy zmianie, poprzedzone są spacją.
Przykład 1 jest przykładem wyjścia tekstowego. Tutaj port 80 na hoście
photos-cache-snc1.facebook.com zyskał wersję serwisową (lighttpd 1.5.0). Gospodarz o godz
69.63.179.25 zmienił swoją odwrotną nazwę DNS. Host pod adresem 69.63.184.145 był całkowicie nieobecny
w pierwszym skanie, ale pojawił się w drugim.
Przykład 1. Ndiff XNUMX wydajność
-Nmap 4.85BETA3 na 2009-03-15 11:00
+Nmap 4.85BETA4 na 2009-03-18 11:00
zdjęcia-cache-snc1.facebook.com (69.63.178.41):
Gospodarz wstał.
Nie pokazano: 99 filtrowanych portów
WERSJA SERWISOWA W STANIE PORTU
-80/tcp otwórz http
+80/tcp otwórz http lighttpd 1.5.0
-cm.out.snc1.tfbnw.net (69.63.179.25):
+mailout-snc1.facebook.com (69.63.179.25):
Gospodarz wstał.
Nie pokazano: 100 filtrowanych portów
+ 69.63.184.145:
+Host działa.
+Nie pokazano: 98 filtrowane porty
+WERSJA USŁUGI PAŃSTWA PORTU
+80/tcp otwórz http Apache httpd 1.3.41.fb1
+443/tcp otwórz ssl/http Apache httpd 1.3.41.fb1
Wyjście XML, przeznaczone do przetwarzania przez inne programy, jest wybierane za pomocą --xml opcja.
Opiera się na danych wyjściowych XML Nmapa, z kilkoma dodatkowymi elementami wskazującymi różnice.
Dokument XML jest zawarty w nmapdiff oraz skandyf elementy. Różnice w gospodarzach są
zamknięty w różnica hostów tagi i różnice portów są zawarte w portdiff tagi. wewnątrz
różnica hostów or portdiff, a oraz b tagi pokazują stan hosta lub portu w pierwszym skanowaniu
(a) lub drugi skan (b).
Przykład 2 pokazuje różnicę XML tych samych skanów pokazanych powyżej w przykładzie 1. Zwróć uwagę, jak port
80 z photos-cache-snc1.facebook.com jest załączonych portdiff tagi. Dla 69.63.179.25,
jest stara nazwa hosta a metki i jest nowość b. Dla nowego hosta 69.63.184.145 jest
b różnica hostów bez odpowiedniego a, wskazując, że nie było informacji dla
host w pierwszym skanie.
Przykład 2. Ndiff XML wydajność
<nazwa usługi="http" produkt="Apache httpd"
wersja="1.3.41.fb1"/>
<nazwa usługi="http" produkt="Apache httpd" tunel="ssl"
wersja="1.3.41.fb1"/>
OKRESOWY RÓŻNICE
Korzystając z Nmap, Ndiff, cron i skryptu powłoki, można codziennie skanować sieć i pobierać
raporty e-mail o stanie sieci i zmianach od poprzedniego skanowania. Przykład 3
pokazuje skrypt, który je łączy.
Przykład 3. Skanowanie a sieć cyklicznie w Ndiff oraz cron
#!/ Bin / sh
CELE="cele"
OPCJE="-v -T4 -F -sV"
data=`data +%F`
cd /root/scans
nmap $OPTIONS $CELE -oA scan-$date > /dev/null
if [-e scan-prev.xml]; Następnie
ndiff scan-prev.xml scan-$date.xml > diff-$date
echo "*** WYNIKI NDIFF ***"
cat diff-$data
przegapić
fi
echo "*** WYNIKI NMAP ***"
cat scan-$date.nmap
ln -sf scan-$date.xml scan-prev.xml
Jeśli skrypt jest zapisany jako /root/scan-ndiff.sh, dodaj następującą linię do pliku crontab użytkownika root:
0 12 * * * /root/scan-ndiff.sh
EXIT KOD
Kod wyjścia wskazuje, czy skany są równe.
· 0 oznacza, że skany są takie same we wszystkich aspektach, o których Ndiff wie.
· 1 oznacza, że skany się różnią.
· 2 oznacza błąd czasu wykonywania, taki jak brak możliwości otwarcia pliku.
Korzystaj z ndiff online, korzystając z usług onworks.net