Host Discovery

Lors d'un test d'intrusion interne, il est primordial de connaître les systèmes présents et actifs sur le réseau. Cela permet de planifier les étapes suivantes de l’attaque, notamment l’énumération des ports, des services et la recherche de vulnérabilités.

La découverte d'hôtes avec Nmap permet de savoir quels dispositifs sont en ligne. Ce chapitre récapitule les différentes techniques et options offertes par Nmap pour ce faire.

---

📂 Scan d’un réseau complet

sudo nmap 10.129.2.0/24 -sn -oA tnet | grep for | cut -d" " -f5

Option	Description
10.129.2.0/24	Plage d’IP à scanner.
-sn	Désactive le scan de ports (ping scan uniquement).
-oA tnet	Sauvegarde des résultats sous les 3 formats (normal, grepable, XML).

Remarque : Ce scan repose sur des requêtes ICMP. Si les hôtes bloquent ces requêtes, ils peuvent apparaître comme hors-ligne.

---

📄 Scan depuis un fichier d’IP

Si l’on dispose d’une liste d’IP à tester, Nmap permet de les charger depuis un fichier :

cat hosts.lst

10.129.2.4
10.129.2.10
...

sudo nmap -sn -oA tnet -iL hosts.lst | grep for | cut -d" " -f5

Option	Description
-iL	Lit la liste d’IP depuis le fichier hosts.lst.
-sn	Désactive le scan de ports.
-oA	Enregistre les résultats.

---

📅 Scan de plusieurs IPs manuellement

sudo nmap -sn -oA tnet 10.129.2.18 10.129.2.19 10.129.2.20

Ou plus simple, en réduction d’intervalle :

sudo nmap -sn -oA tnet 10.129.2.18-20

---

✉️ Scan d’une seule IP

Avant d’effectuer un scan de port, il est utile de vérifier si la cible est active :

sudo nmap 10.129.2.18 -sn -oA host

---

📊 Forcer les requêtes ICMP (Ping)

Par défaut, sur un réseau local, Nmap envoie d’abord des requêtes ARP. Pour forcer l’envoi d’ICMP, on utilise :

sudo nmap 10.129.2.18 -sn -oA host -PE --packet-trace

Option	Description
-PE	Utilise explicitement les requêtes ICMP Echo.
--packet-trace	Affiche les paquets envoyés/reçus pour analyse.

---

🔎 Comprendre le résultat : option --reason

Pour savoir pourquoi une cible est marquée comme "up" :

sudo nmap 10.129.2.18 -sn -oA host -PE --reason

Option	Description
--reason	Affiche la raison de l'état "up" (ARP, ICMP, etc.).

---

❌ Désactiver les ARP Pings

Sur les réseaux où l’on souhaite uniquement utiliser ICMP, on peut désactiver l’ARP :

sudo nmap 10.129.2.18 -sn -oA host -PE --packet-trace --disable-arp-ping

---

ℹ️ Conclusion

La découverte d’hôtes est une étape critique en phase de reconnaissance. Une bonne maîtrise des options -sn, -iL, -PE et --reason de Nmap permet une meilleure couverture et compréhension du réseau.

Pour aller plus loin : Nmap Host Discovery Strategies

---

Based on the last result, find out which operating system it belongs to. Submit the name of the operating system as result.

Le dernier résultat fourni est le suivant :

0xH4shDumb@htb[/htb]$ sudo nmap 10.129.2.18 -sn -oA host -PE --packet-trace --disable-arp-ping 

Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-15 00:12 CEST
SENT (0.0107s) ICMP [10.10.14.2 > 10.129.2.18 Echo request (type=8/code=0) id=13607 seq=0] IP [ttl=255 id=23541 iplen=28 ]
RCVD (0.0152s) ICMP [10.129.2.18 > 10.10.14.2 Echo reply (type=0/code=0) id=13607 seq=0] IP [ttl=128 id=40622 iplen=28 ]
Nmap scan report for 10.129.2.18
Host is up (0.086s latency).
MAC Address: DE:AD:00:00:BE:EF
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Nous utilisons ici le TTL remonté pour définit l'hôte. Pour se faire nous utilisons le lien suivant : https://ostechnix.com/identify-operating-system-ttl-ping/

Nous observons alors que le TTL 128, repéré dans la commande précédente, est associé au système d'exploitation WINDOWS.

---