Это команда ndiff, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ndiff - Утилита для сравнения результатов сканирования Nmap
СИНТАКСИС
ндифф [кредита] {а.xml} {б.xml}
ОПИСАНИЕ
Ndiff - это инструмент, помогающий сравнивать просмотры Nmap. Требуется два выходных файла Nmap XML
и распечатывает различия между ними. Наблюдаемые различия:
· Состояния хоста (например, вверх до вниз)
· Состояния порта (например, от открытого до закрытого)
· Версии сервиса (от -sV)
· Соответствие ОС (от -O)
· Вывод скрипта
Ndiff, как и стандарт Разница утилита сравнивает два сканирования за раз.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ РЕЗЮМЕ
-h, --Помогите
Показать справочное сообщение и выйти.
-v, --подробный
Включите в вывод все хосты и порты, а не только те, которые были изменены.
--текст
Напишите вывод в удобочитаемом текстовом формате.
--xml
Записывать вывод в машиночитаемом формате XML. Структура документа определена в
файл ndiff.dtd включен в дистрибутив.
Любые другие аргументы считаются именами выходных файлов XML Nmap. Должно быть
ровно два.
ПРИМЕР
Давайте воспользуемся Ndiff для сравнения результатов двух сканирований Nmap, использующих разные параметры. в
сначала сделаем быстрое сканирование (-F), который сканирует меньшее количество портов на предмет скорости. Во втором мы
просканируйте больший набор портов по умолчанию и запустите сценарий NSE.
# птар -F scanme.nmap.org -ОХ scanme-1.xml
# птар --script = HTML-заголовок scanme.nmap.org -ОХ scanme-2.xml
$ ндифф -v scanme-1.xml scanme-2.xml
-Nmap 5.35DC1, 2010 июля 07 г., 16:12
+ Nmap 5.35DC1, 2010 июля 07 г., 16:12
scanme.nmap.org (64.13.134.52):
Хост включен.
-Не показано: 95 фильтрованных портов
+ Не показано: 993 отфильтрованных порта
ВЕРСИЯ ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПОРТА
22 / TCP Open SSH
25 / tcp закрытый smtp
53 / tcp открытый домен
+ 70 / tcp закрытый суслик
80 / tcp открыть http
+ | _ html-title: Вперед, ScanMe!
113 / tcp закрытая аутентификация
+ 31337 / tcp закрыто Elite
Изменения отмечаются знаком - или + в начале строки. Мы видим из вывода, что
сканирование без -F Опция быстрого сканирования обнаружила два дополнительных порта: 70 и 31337.
html-title выдал дополнительный вывод для порта 80. По подсчетам портов мы
может сделать вывод, что быстрое сканирование просканировало 100 портов (95 отфильтрованных, 3 открытых и 2 закрытых), в то время как
при обычном сканировании сканировалось 1000 (993 отфильтрованных, 3 открытых и 4 закрытых).
Команда -v (или --подробный) параметр Ndiff заставил его показывать даже те порты, которые не изменились, например
22 и 25. Без -v, они бы не были показаны.
ВЫВОД
Есть два режима вывода: текст и XML. Текстовый вывод по умолчанию, его также можно
выбран с --текст вариант. Текстовый вывод напоминает унифицированную разницу нормального Nmap.
терминальный выход. Каждой строке предшествует символ, указывающий,
измененный. - означает, что строка была в первом сканировании, но не во втором; + означает это
был во втором, но не в первом. Измененная линия обозначается - линией
за которым следует + линия. Перед строками, которые не изменились, ставится пробел.
Пример 1 - это пример вывода текста. Здесь порт 80 на хосте
photos-cache-snc1.facebook.com получил служебную версию (lighttpd 1.5.0). Хозяин в
69.63.179.25 изменил свое обратное DNS-имя. Хост по адресу 69.63.184.145 полностью отсутствовал
в первом сканировании, но появился во втором.
Пример 1. Ндифф текст выходной
-Nmap 4.85BETA3 в 2009-03-15 11:00
+ Nmap 4.85BETA4, 2009, 03:18
photos-cache-snc1.facebook.com (69.63.178.41):
Хост включен.
Не показано: 99 фильтрованных портов
ВЕРСИЯ ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПОРТА
-80 / tcp открыть http
+ 80 / tcp открыть http lighttpd 1.5.0
-cm.out.snc1.tfbnw.net (69.63.179.25):
+ mailout-snc1.facebook.com (69.63.179.25):
Хост включен.
Не показано: 100 фильтрованных портов
+ 69.63.184.145:
+ Хост включен.
+ Не показано: 98 отфильтрованных порта
+ ВЕРСИЯ ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПОРТА
+ 80 / tcp открыть http Apache httpd 1.3.41.fb1
+ 443 / tcp открыть ssl / http Apache httpd 1.3.41.fb1
Вывод XML, предназначенный для обработки другими программами, выбирается с помощью --xml опцию.
Он основан на выводе XML Nmap с несколькими дополнительными элементами, указывающими на различия.
Документ XML заключен в Nmapdiff и скандифф элементы. Различия между хостами
заключено в хостдифф теги и различия портов заключены в Portdiff теги. Внутри
хостдифф or Portdiff, a и b теги показывают состояние хоста или порта при первом сканировании
(a) или второе сканирование (b).
Пример 2 показывает XML-различие тех же сканирований, показанных выше в примере 1. Обратите внимание, как порт
80 из photos-cache-snc1.facebook.com заключено в Portdiff теги. Для 69.63.179.25
старое имя хоста находится в a теги и новое в b. Для нового хоста 69.63.184.145 есть
b в хостдифф без соответствующего a, что указывает на отсутствие информации для
хост в первом сканировании.
Пример 2. Ндифф XML выходной
<service name="http" product="Apache httpd"
версия = "1.3.41.fb1" />
<service name="http" product="Apache httpd" туннель="ssl"
версия = "1.3.41.fb1" />
ПЕРИОДИЧЕСКИЕ ДИФФ
Используя Nmap, Ndiff, cron и сценарий оболочки, можно ежедневно сканировать сеть и получать
отчеты по электронной почте о состоянии сети и изменениях с момента предыдущего сканирования. Пример 3
показывает сценарий, который связывает их воедино.
Пример 3. Сканирование a сеть периодически Ндифф и крон
#!/ Бен / ш
ЦЕЛИ = "направлена против"
ОПЦИИ = "- v -T4 -F -sV"
date = `дата +% F`
компакт-диск / корень / сканирование
nmap $ OPTIONS $ TARGETS -oA scan- $ date> / dev / null
если [-e сканирование-пред.xml]; тогда
ndiff scan-prev.xml scan- $ date.xml> diff- $ date
echo "*** РЕЗУЛЬТАТЫ NDIFF ***"
cat diff- $ date
эхо
fi
echo "*** РЕЗУЛЬТАТЫ NMAP ***"
сканирование кошки - $ date.nmap
ln -sf сканирование- $ date.xml сканирование-prev.xml
Если сценарий сохранен как /root/scan-ndiff.sh, добавьте следующую строку в crontab root:
0 12 * * * /root/scan-ndiff.sh
ВЫХОД КОД
Код выхода указывает, равны ли просмотры.
· 0 означает, что сканирование одинаково во всех аспектах, о которых знает Ndiff.
· 1 означает, что сканированные изображения различаются.
· 2 указывает на ошибку времени выполнения, такую как отказ от открытия файла.
Используйте ndiff в Интернете с помощью сервисов onworks.net
