Je suis en train d'analyser deux réseaux (dont l'un que je connais très bien et l'autre qui est géré par quelqu'un d'autre et pour lequel les informations sont rares). L'objectif est de vérifier la conformité (présence d'un listener AV sur les machines) par le biais d'un nmap -sV -p9999 <network> (version simplifiée, la version complète configure la sortie XML, etc.)
Sur le réseau, je sais que les résultats sont propres : -sV renvoie des informations cohérentes, conformes à ce qui est attendu (si l'AV est là - une chaîne donnée, s'il n'est pas là - une autre chaîne ou un port fermé).
Sur l'autre réseau, cependant, la situation est très différente car la plupart des résultats indiquent un port 9999 ouvert (OK jusqu'à présent) mais sans un <service> des informations.
Les AV (et par conséquent les services) sur toutes les machines devraient être les mêmes (donc la même réponse attendue à une sonde de service).
Avez-vous une idée de ce qui pourrait bloquer les sondes (mais pas les analyses SYN) ? Le port n'est pas protégé par un pare-feu (l'état est "ouvert"), donc peut-être un HIPS ?
Merci de vos conseils.
