ndiff - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

ndiff - Tiện ích so sánh kết quả quét Nmap

SYNOPSIS

khác biệt [lựa chọn] {a.xml} {b.xml}

MÔ TẢ

Ndiff là một công cụ hỗ trợ trong việc so sánh các bản quét Nmap. Phải mất hai tệp đầu ra XML Nmap
và in sự khác biệt giữa chúng. Sự khác biệt được quan sát là:

· Các trạng thái máy chủ (ví dụ: lên đến xuống)

· Trạng thái cổng (ví dụ: mở đến đóng)

· Phiên bản dịch vụ (từ -sV)

· Kết hợp hệ điều hành (từ -O)

· Đầu ra tập lệnh

Ndiff, như tiêu chuẩn khác tiện ích, so sánh hai lần quét cùng một lúc.

LỰA CHỌN TÓM TẮT

-h, --Cứu giúp
Hiển thị thông báo trợ giúp và thoát.

-v, --dài dòng
Bao gồm tất cả các máy chủ và cổng trong đầu ra, không chỉ những máy chủ đã thay đổi.

--bản văn
Viết đầu ra ở định dạng văn bản mà con người có thể đọc được.

--xml
Ghi đầu ra ở định dạng XML mà máy có thể đọc được. Cấu trúc tài liệu được xác định trong
tệp ndiff.dtd được bao gồm trong bản phân phối.

Bất kỳ đối số nào khác được coi là tên của tệp đầu ra Nmap XML. Phải có
chính xác là hai.

THÍ DỤ

Hãy sử dụng Ndiff để so sánh đầu ra của hai lần quét Nmap sử dụng các tùy chọn khác nhau. bên trong
trước tiên, chúng tôi sẽ quét nhanh (-F), quét ít cổng hơn để tăng tốc độ. Trong phần thứ hai, chúng tôi sẽ
quét tập hợp cổng mặc định lớn hơn và chạy tập lệnh NSE.

# nmap -F scanme.nmap.org -con bò đực scanme-1.xml
# nmap --script = html-title scanme.nmap.org -con bò đực scanme-2.xml
$ khác biệt -v scanme-1.xml scanme-2.xml
-Nmap 5.35DC1 lúc 2010-07-16 12:09
+ Nmap 5.35DC1 tại 2010-07-16 12:13

scanme.nmap.org (64.13.134.52):
Máy chủ đã lên.
-Không hiển thị: 95 cổng được lọc
+ Không hiển thị: 993 cổng được lọc
PHIÊN BẢN DỊCH VỤ NHÀ NƯỚC CỔNG
22 / tcp mở ssh
25 / tcp đã đóng smtp
53 / tcp miền mở
+ 70 / tcp gopher đóng
80 / tcp mở http
+ | _ html-title: Hãy tiếp tục và ScanMe!
113 / tcp đã đóng xác thực
+ 31337 / tcp đã đóng Elite

Các thay đổi được đánh dấu bằng dấu - hoặc + ở đầu dòng. Chúng ta có thể thấy từ đầu ra rằng
quét mà không có -F tùy chọn quét nhanh tìm thấy hai cổng bổ sung: 70 và 31337.
tập lệnh html-title đã tạo ra một số đầu ra bổ sung cho cổng 80. Từ số lượng cổng, chúng tôi
có thể suy ra rằng quét nhanh đã quét 100 cổng (95 được lọc, 3 mở và 2 đóng), trong khi
quét bình thường đã quét 1000 (993 được lọc, 3 mở và 4 đóng).

-v (Hoặc --dài dòng) tùy chọn Ndiff làm cho nó hiển thị ngay cả các cổng không thay đổi, như
22 và 25. Không có -v, chúng sẽ không được hiển thị.

OUTPUT

Có hai chế độ xuất: văn bản và XML. Đầu ra văn bản là mặc định và cũng có thể là
được chọn với --bản văn Lựa chọn. Đầu ra văn bản giống như một khác biệt thống nhất của Nmap bình thường
đầu ra đầu cuối. Mỗi dòng được đặt trước bởi một ký tự cho biết nó có hay không và như thế nào
đã thay đổi. - có nghĩa là dòng ở lần quét đầu tiên nhưng không ở lần quét thứ hai; + có nghĩa là nó
là trong thứ hai nhưng không phải là đầu tiên. Một dòng đã thay đổi được biểu thị bằng một - dòng
theo sau là một dòng +. Các dòng không thay đổi được đặt trước bởi một khoảng trống.

Ví dụ 1 là một ví dụ về kết xuất văn bản. Đây, cổng 80 trên máy chủ
photos-cache-snc1.facebook.com đã đạt được phiên bản dịch vụ (lighttpd 1.5.0). Chủ nhà tại
69.63.179.25 đã thay đổi tên DNS ngược của nó. Máy chủ tại 69.63.184.145 hoàn toàn vắng bóng
trong lần quét đầu tiên nhưng xuất hiện trong lần thứ hai.

Ví dụ 1. chênh lệch văn bản đầu ra

-Nmap 4.85BETA3 lúc 2009-03-15 11:00
+ Nmap 4.85BETA4 tại 2009-03-18 11:00

ảnh-cache-snc1.facebook.com (69.63.178.41):
Máy chủ đã lên.
Không hiển thị: 99 cổng được lọc
PHIÊN BẢN DỊCH VỤ NHÀ NƯỚC CỔNG
-80 / tcp mở http
+ 80 / tcp mở http lighttpd 1.5.0

-cm.out.snc1.tfbnw.net (69.63.179.25):
+ mailout-snc1.facebook.com (69.63.179.25):
Máy chủ đã lên.
Không hiển thị: 100 cổng được lọc

+ 69.63.184.145:
+ Máy chủ đã lên.
+ Không hiển thị: 98 cổng được lọc
+ PHIÊN BẢN DỊCH VỤ NHÀ NƯỚC CỔNG
+ 80 / tcp mở http Apache httpd 1.3.41.fb1
+ 443 / tcp mở ssl / http Apache httpd 1.3.41.fb1

Kết quả đầu ra XML, dự định được xử lý bởi các chương trình khác, được chọn với --xml tùy chọn.
Nó dựa trên đầu ra XML của Nmap, với một vài yếu tố bổ sung để chỉ ra sự khác biệt.
Tài liệu XML được bao gồm trong nmapdiff và Scandiff các yếu tố. Sự khác biệt về máy chủ là
đính kèm với chủ nhà các thẻ và sự khác biệt về cổng được bao gồm trong portdiff các thẻ. Bên trong
chủ nhà or portdiff, a và b thẻ hiển thị trạng thái của máy chủ hoặc cổng trong lần quét đầu tiên
(a) hoặc lần quét thứ hai (b).

Ví dụ 2 cho thấy sự khác biệt của XML của cùng một lần quét được hiển thị ở trên trong Ví dụ 1. Lưu ý cách cổng
80 trong số photos-cache-snc1.facebook.com được đính kèm trong portdiff các thẻ. Đối với 69.63.179.25,
tên máy chủ cũ ở trong a thẻ và cái mới ở trong b. Đối với máy chủ mới 69.63.184.145, có một
b trong chủ nhà không có tương ứng a, chỉ ra rằng không có thông tin cho
máy chủ trong lần quét đầu tiên.

Ví dụ 2. chênh lệch XML đầu ra





















































<tên dịch vụ="http" sản phẩm="Apache httpd"
version = "1.3.41.fb1" />



<tên dịch vụ="http" sản phẩm="Apache httpd" đường hầm="ssl"
version = "1.3.41.fb1" />

THỜI GIAN KHÓ KHĂN

Sử dụng Nmap, Ndiff, cron và một tập lệnh shell, bạn có thể quét mạng hàng ngày và lấy
báo cáo qua email về trạng thái của mạng và những thay đổi kể từ lần quét trước. Ví dụ 3
hiển thị script liên kết nó với nhau.

Ví dụ 3. Quét (scanning) a mạng định kỳ với chênh lệch và cron

#!/ Bin / sh
TARGETS = "mục tiêu"
TÙY CHỌN = "- v -T4 -F -sV"
date = `date +% F`
cd / root / scan
nmap $ OPTIONS $ TARGETS -oA scan- $ date> / dev / null
if [-e scan-prev.xml]; sau đó
ndiff scan-prev.xml scan- $ date.xml> diff- $ date
echo "*** KẾT QUẢ NDIFF ***"
cat diff- $ date
bỏ lỡ
fi
echo "*** KẾT QUẢ NMAP ***"
quét mèo- $ date.nmap
ln -sf scan- $ date.xml scan-prev.xml

Nếu tập lệnh được lưu dưới dạng /root/scan-ndiff.sh, hãy thêm dòng sau vào crontab của root:

0 12 * * * /root/scan-ndiff.sh

EXIT MÃ

Mã thoát cho biết liệu các lần quét có bằng nhau hay không.

· 0 có nghĩa là các lần quét đều giống nhau về tất cả các khía cạnh mà Ndiff biết.

· 1 có nghĩa là các lần quét khác nhau.

· 2 chỉ ra lỗi thời gian chạy, chẳng hạn như không mở được tệp.

Sử dụng ndiff trực tuyến bằng các dịch vụ onworks.net