Klassifizierung für Erkennung von IP-Adressen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Discovery bietet eine Möglichkeit, Geräte zu klassifizieren, die über die IP-Adresserkennung erkannt werden, auch wenn keine Anmeldeinformationen verfügbar sind.

    Wenn Sie keine CI-Erkennung, sondern eine Erkennung für IP-Adressen ausführen, geht Discovery von bestimmten Annahmen in Bezug auf die Geräte und Anwendungen aus, die auf den Geräten an den als offen vorgefundenen Ports ausgeführt werden. Die Klassifizierungsparameter für diesen Erkennungstyp werden anders generiert als bei Scans, bei denen Anmeldeinformationen verfügbar sind.

    Die Syntax zum Erstellen von Parametern wird von den Feldern abgeleitet, die von der Shazzam-Probe zurückgegeben werden, wenn eine Discovery für IP-Adressen ausgeführt wird. Parameter für CIs und Anwendungen werden auf dieselbe Weise gebildet. Die Shazzam-Probe erstellt eine XML-Datei mit den folgenden Feldern:

    • Name
    • port
    • portprobe
    • protocol
    • Ergebnis
    • service
    Hinweis:
    Optionale Felder, die zum Bilden von Parametern verwendet werden können, werden als untergeordnete Tags unter den Standardfeldern angezeigt. Beispiel hierfür sind die Felder sysDescr und banner_text.
    Parameter werden im Format <portprobe.service.field> ausgedrückt. Der Wert für field kann aus jedem der Felder oder untergeordneten Tags in der XML-Datei stammen. Beispielsweise klassifizieren die folgenden Parameter ein Gerät als UNIX-Server und erkennen eine MySQL-Installation:
    • ssh.ssh.result
    • mysql.mysql.result
    Diese Parameter wurden von den Werten in der folgenden XML-Datei abgeleitet, die von einer Shazzam-Probe generiert wurde, die einen IP-Scan durchführt. Das Feld result hat den Wert open für die Ports 22 und 3306 auf dem Zielgerät zurückgegeben. Das Feld service zeigt die Services an, die normalerweise über diese Ports kommunizieren.
    Parameter aus Shazzam
    Das Feld sysDescr kann je nach Hersteller zusätzliche Informationen zu Geräten bereitstellen. Diese XML-Datei der Shazzam-Probe zeigt Folgendes über Port 161 auf dem Gerät bei IP 10.10.11.149:
    Das sysDescr-Feld
    In den Klassifizierungskriterien kann der folgende Parameter mit sysDescr erstellt werden, der einen Apple AirPort-WLAN-Router zurückgibt:
    snmp.snmp.sysDescr  contains  Apple AirPort