Nmap que muestra el puerto DNS del enrutador de los ISP además de los puertos de destino

Navega tus respuestas
3

Cada vez que hago escaneos de nmap, parece que la información relacionada con el puerto 53 es modificada por mi enrutador de ISP de la siguiente manera: 

$ nmap -T4 -A -v stackoverflow.com

PORT     STATE SERVICE  VERSION
53/tcp   open  domain   MikroTik RouterOS named or OpenDNS Updater
.... // Ports related to the actual stackoverflow.com scan: 21, 22, 25, 80...

Esto sucede para cada IP o nombre de host de destino : scanme.nmap.org, google.org, etc.

Sin embargo, si hago una exploración con un escáner en línea como enlace , muestra los detalles exactos y no muestra este servicio 53 . 

Starting Nmap 6.46 ( http://nmap.org ) at 2015-12-26 22:11 CST
Nmap scan report for stackoverflow.com (104.16.37.249)
Host is up (0.00093s latency).
Other addresses for stackoverflow.com (not scanned): 104.16.35.249 104.16.34.249 104.16.33.249 104.16.36.249
PORT     STATE    SERVICE       VERSION
21/tcp   filtered ftp
22/tcp   filtered ssh
25/tcp   filtered smtp
80/tcp   open     http          cloudflare-nginx
443/tcp  open     ssl/https     cloudflare-nginx
3389/tcp filtered ms-wbt-server

¿Cómo evito esto?

Importante: fuera del tema, pero mi red puede estar en un ataque MITM. ¿Podría un MITM causar esto?

    
pregunta user1156544 27.12.2015 - 05:16
fuente

3 respuestas

2

Parece que el firewall de su enrutador ha secuestrado sus solicitudes de DNS. Encontré estas instrucciones en la página wiki de tu enrutador que describe exactamente cómo hacerlo:

  

Forzar a los usuarios a usar el servidor DNS especificado

     

Esto es solo una simple regla de firewall que forzará a todos tus usuarios   detrás de RB para usar el servidor DNS que definirás.

     

En / ip firewall nat

     

agregar cadena = acción dstnat = dst-nat to-address = 192.168.88.1 to-ports = 53   protocolo = tcp dst-port = 53

     

agregar cadena = acción dstnat = dst-nat to-address = 192.168.88.1 to-ports = 53   protocolo = udp dst-port = 53

     

Esta regla obligará a todos los usuarios con un servidor DNS definido a usar   192.168.88.1 como su servidor DNS, esta regla simplemente redirigirá todas las solicitudes enviadas a CUALQUIER IP: 53 a 192.168.88.1:53

Si puede iniciar sesión en su enrutador, puede deshacer el daño usted mismo. Si no, su ISP tendría que hacer el cambio. Tus otras opciones serán complejas, como configurar una VPN.

Tenga en cuenta que su país puede tener leyes con respecto a DNS que pueden haber forzado a su ISP a proporcionar solo resoluciones de nombres DNS aprobadas por el gobierno. Por ejemplo, Turquía requirió la eliminación de los servidores de Twitter de DNS debido a todos los tweets públicos que criticaban a su gabinete corrupto. No te aconsejaría que intentes evitar esta restricción si eso significa ir a la cárcel.

    
respondido por el John Deters 27.12.2015 - 16:02
fuente
1

Los resultados de su escaneo para scanme.nmap.org son correctos y son los mismos resultados que los míos y los obtenidos del enlace URL que proporcionó. Su Nmap funciona correctamente.
Además, puede que no sea una buena idea escanear dominios para los que no tiene autorización, así que no puedo ayudarlo con su análisis de stackoverflow.com.
scanme .nmap.org está bien para escanear ya que ha sido proporcionado por el creador de Nmap para las pruebas.
Además, intente especificar servidores DNS personalizados a través de la opción --dns-servers . Nmap --help para obtener más información sobre el uso.

    
respondido por el mk444 27.12.2015 - 05:33
fuente
1

Esto me parece que su ISP (o red MitM'd) está redirigiendo todas las solicitudes del puerto 53 (DNS) a su propio servicio DNS. Esto puede ser un medio para evitar que los usuarios usen otros servidores DNS. Supongo que esto es, posiblemente, para ayudar a aplicar la restricción de dominio (bloquear el acceso a ciertos sitios web por nombre de dominio en lugar de la dirección IP). Esto también podría ser parte de un ataque MitM muy elaborado, como usted sugirió. Para estar seguro, recomendaría ponerse en contacto con su ISP.

Si esto es parte de un ataque MitM, este ataque haría uso del envenenamiento de su caché DNS mediante la resolución de dominios legítimos a la dirección IP de un atacante, y podría hacerlo sin cambiar la dirección IP real del DNS. Servidor anunciado por el enrutador o ISP.

    
respondido por el Jonathan Gray 27.12.2015 - 07:31
fuente

Lea otras preguntas en las etiquetas

¿Se puede infectar la sincronización de Chrome? Decodificación de código PHP malicioso inyectado en mi servidor