En primer lugar, no creo que Nmap muestre resultados "incorrectos". Está obteniendo resultados diferentes como se esperaba, porque está realizando diferentes escaneos , incluso si no lo sabe. Usar Nmap no es como usar una combinación de opciones mágicas que le dará de inmediato un resultado definitivo. Existen diferentes técnicas porque los diferentes dispositivos en la red se comportan de manera diferente (enrutadores, cortafuegos, diferentes sistemas operativos ...) y también es posible que desee ser más o menos "invisible". Aquí, la belleza de Nmap es su flexibilidad, que le permite realizar muchos escaneos diferentes para encontrar lo que necesita. Imagínelo como una herramienta de mapeo que le dará X resultados con algunas opciones y Z resultados con otras. Entonces, es tu cerebro quien debe interpretarlos y llegar a conclusiones. Solo ejecutó el comando básico con todas las opciones predeterminadas, y hay mucho más que explorar.
[1] Solo estás haciendo un escaneo de ping, que de manera predeterminada hará lo siguiente:
- Enviar una solicitud de
ICMP
echo
- Envía un paquete
TCP ACK
al puerto 80
NOTA: Las versiones más nuevas de Nmap (creo que las tuyas están incluidas) también envían un paquete TCP SYN
al puerto 443
y una solicitud de marca de tiempo ICMP
.
[2] Si estás en la misma red (y eres un superusuario), lo que en tu caso significa que la computadora que ejecuta Nmap tiene una IP como 192.168.1.X
, un ARP
solicitud será utilizada en su lugar. Si utiliza Wireshark
, puede ver los intercambios de paquetes ARP
.
[3] Por último, el comportamiento predeterminado de [1] utiliza paquetes RAW para el ICMP
echo y el TCP ACK
, así que cuando usas un no privilegiado El usuario entonces Nmap no puede usar esta técnica. En su lugar, Nmap enviará un paquete TCP SYN
al puerto 80
, utilizando connect como lo harán las aplicaciones de usuario normales.
Si comprende cómo funciona Nmap ( [1] , [2] y [3] ), podrá ver por qué están obteniendo resultados diferentes.
En su primer escaneo, ambas computadoras ( 192.168.1.1
y 192.168.1.4
) aceptaron la conexión TCP
. Esto solía ser un escaneo muy ruidoso, porque las aplicaciones registrarán el hecho de que ha accedido a ellas. Pero obtuviste lo que querías: ver que estaban vivos. Tenga en cuenta que puede configurar este tipo de escaneo cuando ejecute Nmap como superusuario (por lo tanto, incluso cuando sea un superusuario, puede usar [3] en lugar de [1] o [2] ) y habrá obtenido exactamente el mismo resultado.
Su segundo escaneo envió un ACK
al puerto 80
y un ICMP
echo, y 192.168.1.1
lo ignoró. Esto podría significar que tiene un firewall en su lugar. Por otro lado, 192.168.1.4
respondió al ACK
o al ICMP
echo. Si estuviera en la misma red ( 192.168.1.0
), entonces se habría usado ARP
en su lugar (consulte [2] ) ... pero si ese fue el caso, por alguna razón, 192.168.1.1
no hubiera respondido a su solicitud ARP
, lo cual me parece inusual. Por lo tanto, supongo que no estabas en la misma red.
En su tercer análisis, en mi opinión, 192.168.1.3
debería haberle dado los mismos resultados que en el segundo análisis. El hecho de que 192.168.1.3
no se haya mostrado en el segundo escaneo podría responder a diferentes hechos, ¿tal vez estaba conectado a través de wifi y estaba caído? Le pasa a mi teléfono a veces cuando se desconecta automáticamente para ahorrar energía. ¿Obtuviste estos resultados consistentemente? Debería ejecutar exploraciones más detalladas para ver por qué Nmap interpreta exactamente los consejos de red de la forma en que lo hace.
Finalmente, si te tomas en serio el aprendizaje de la herramienta, te recomiendo que obtengas el libro de mapas de Fyodor . Es genial no solo entender cómo funciona Nmap, sino también el comportamiento de algunas redes de computadoras y otros trucos. Por ejemplo, podría usar -n
para omitir las búsquedas en DNS
y acelerar su prueba. También puedes probar diferentes puertos de ping (desde el 80
predeterminado) y diferentes tipos de ping.