Nessus 4.4 在VMware Linux下不能正確掃描的問題和測試

Nessus在vmware下安裝的linux系統裡不能掃描外部IP地址，只能對vmware內部IP段進行掃描，具體情況如下

環境：

（1）vmware下安裝的BT4 linux vmware eth0 ip為192.168.11.131，nessus安裝在這上面（便於認識以後統稱BT4）

（2）vmware主機，windows系統，vmware eth0 ip為192.168.11.1（網關）和192.168.11.2（dns），8139網卡eth0 192.168.18.2（真實物理ip）。（便於認識該主機統稱WIN）

問題：

Nessus默認規則掃描192.168.11.x（vmware網段）正常，掃描結果也都正常。掃描192.168.18.2異常，查看nessus log日志顯示18.2主機不在線（實際都是同一台機器）。Log如下

[Fri Jan 21 03:33:02 2011][10704.5530] User hey starts a new scan (31c72297-8f06-8745-e775-90f7be11f20673bb9d1353fa91ee)

[Fri Jan 21 03:33:02 2011][10704.5530] Reducing max_hosts to 16 (HomeFeed)

[Fri Jan 21 03:33:03 2011][10704.5530] user hey starts a new scan. Target(s) : 192.168.11.1,192.168.18.2,211.94.163.99, with max_hosts = 16 and max_checks = 5

[Fri Jan 21 03:33:03 2011][10704.5530] user hey : testing 192.168.11.1 (192.168.11.1) [5536]

[Fri Jan 21 03:33:03 2011][10704.5530] user hey : testing 192.168.18.2 (192.168.18.2) [5537]

[Fri Jan 21 03:33:04 2011][10704.5537] user hey : The remote host (192.168.18.2) is dead

[Fri Jan 21 03:33:04 2011][10704.5537] Finished testing 192.168.18.2. Time : 1.04 secs

[Fri Jan 21 03:33:47 2011][10704.5536] Finished testing 192.168.11.1. Time : 43.80 secs

[Fri Jan 21 03:33:48 2011][10704.5530] user hey : test complete

[Fri Jan 21 03:33:48 2011][10704.5530] Scan done: 1 hosts up

[Fri Jan 21 03:33:48 2011][10704.5530] Total time to scan all hosts : 46 seconds

[Fri Jan 21 03:33:51 2011][10704.2] Task 31c72297-8f06-8745-e775-90f7be11f20673bb9d1353fa91ee is finished

分析：

起初懷疑和端口掃描選項有關，於是分別測試一下幾種端口掃描方法，1、syn+ping host；2、tcp connect + ping host；3、syn；4、tcp connect這幾種方法。結果如下

1：syn+ping host，主機不在線

2：tcp connect + ping host，主機不在線

3：syn，在線，返回大量開放端口信息，全誤報，並且無主機cve這類漏洞掃描信息

4：tcp connect，主機不在線

然後通過抓包分析，主要分析2種情況，一種主機不在線，一種返回大量誤報信息。

第一種不在線情況過程（端口掃描選項 ping host、SYN scan）

1：BT4 arp請求查找dns服務器192.168.11.2（WIN主機），然後做反向arp請求，dns查詢失敗

2：BT4 做icmp request ID字段為0，WIN icmp replay ID字段為0

3：BT4 向WIN 發送smtp和60000-60009 SYN請求，下面以其中的SMTP來截圖

4：可以看到BT4 先同WIN進行了3次握手建立連接。然後WIN主動發起了FIN關閉，BT4確認後使用reset進行了終止

5:BT4用63000端口向WIN 60000端口發起SYN請求，過程如smtp一樣，不同是源端口和目的端口每次+1，到63009和60009 reset後停止發送，同時reset smtp，總共42個包，多次測試後發現結束總是60009 reset後smtp reset收尾。

第二種大量誤報信息過程（端口掃描選項SYN scan）

1:全程發送大量數據包約有29000個，過程如下

2：DNS請求同第一種情況一樣，反向查詢

3：查詢失敗後接著發送了srt UDP 32831 à det DUP 9101 請求，返回端口不可達信息

4：然後對大量已知TCP端口發送SYN請求，http、finger、smtp、ftp等等，用http來列舉過程如下

5：如圖，3次握手建立連接後，WIN同上一樣，發送FIN關閉連接，但BT4這時做了個http1.1 GET請求,然後WIN給予ACK確認，接著BT4 reset關閉該連接。

6：其他端口過程基本類似，finger、http此類的會做個get或是help請求，我想是用來識別服務用？，然後就關閉。telnet這種是如同1一樣，不做請求而reset關閉。

7：最終結果是所有端口關閉後，掃描結束，report主機在線，開放了3188個端口，無風險。

8：問題在於1和2的情況下，WIN主機並未開放這些端口，但依然給予了ack握手確認。