nmap detecta el puerto abierto pero no puede conectarse con telnet

Navega tus respuestas
3

He realizado un escaneo a una sola IP con nmap e informa que el puerto 65301 está abierto, e incluso detecta que quizás sea el servicio en cualquier lugar. 

sudo nmap -p 65000-65535 -sV x.x.x.x
Starting Nmap 6.00 ( http://nmap.org ) at 2015-06-04 22:43 CEST
Nmap scan report for x.x.x.x
Host is up (0.96s latency).
Not shown: 336 closed ports
PORT      STATE SERVICE     VERSION
...
65003/tcp open  unknown
65301/tcp open  pcanywhere?
65308/tcp open  unknown
...

Pero cuando intento establecer una conexión a ese puerto con telnet, simplemente rechaza la conexión: 

$ telnet  x.x.x.x 65301
Trying x.x.x. ...
telnet: Unable to connect to remote host: Connection refused

¿Cuál puede ser la causa de la "conexión rechazada": ha nmap devuelto una detección falsa y el puerto no está realmente abierto? ¿O tal vez hay alguna restricción adicional que hace que telnet no pueda conectarse a pesar de que el puerto está abierto?

Lo mismo sucede con el otro puerto con el servicio "desconocido", pero el hecho de que haya detectado un posible servicio (pcanywhere) pero se conecte por telnet.

ACTUALIZACIÓN: adjunto los resultados de la ejecución del comando propuesto por StackzOfZtuff, detecta el puerto como cerrado, lo que creo que es el comportamiento normal (además, el primer comando ahora informa que el puerto está cerrado ahora): 

$ sudo nmap -vv --packet-trace -p 65301 -sV x.x.x.x
...
Initiating SYN Stealth Scan at 10:24
Scanning x.x.x.x [1 port]
SENT (0.1877s) TCP y.y.y.y:53502 > x.x.x.x:65301 S ttl=53 id=3258 iplen=44  seq=3444593130 win=1024 <mss 1460>
RCVD (0.1881s) TCP x.x.x.x:36876 > y.y.y.y:41094 RA ttl=255 id=62429 iplen=40  seq=0 win=0 
RCVD (0.2064s) TCP x.x.x.x:21053 > y.y.y.y:41094 RA ttl=255 id=62430 iplen=40  seq=0 win=0 
RCVD (0.2084s) TCP x.x.x.x:42352 > y.y.y.y:41094 RA ttl=255 id=62431 iplen=40  seq=0 win=0 
RCVD (0.2110s) TCP x.x.x.x:4036 > y.y.y.y:41094 RA ttl=255 id=62432 iplen=40  seq=0 win=0 
RCVD (0.2308s) TCP x.x.x.x:30952 > y.y.y.y:41094 RA ttl=255 id=62433 iplen=40  seq=0 win=0 
RCVD (0.2352s) TCP x.x.x.x:65301 > y.y.y.y:53502 RA ttl=255 id=62434 iplen=40  seq=0 win=0 
Completed SYN Stealth Scan at 10:24, 0.05s elapsed (1 total ports)
Initiating Service scan at 10:24
NSE: Script scanning x.x.x.x.
NSE: Starting runlevel 1 (of 1) scan.
Nmap scan report for x.x.x.x
Host is up (0.0061s latency).
Scanned at 2015-06-06 10:24:17 CEST for 0s
PORT      STATE  SERVICE    VERSION
65301/tcp closed pcanywhere
    
pregunta Toni 05.06.2015 - 20:42
fuente

3 respuestas

2

Es posible que el dispositivo solo permita conexiones desde rangos de direcciones IP especificados (por ejemplo, 192.168.1.0/24 para su subred local). Por lo tanto, al escanear puede mostrar el puerto abierto y el telnet en funcionamiento, a menos que vea su dirección IP en ese rango, su conexión será rechazada.

    
respondido por el RedLee 05.06.2015 - 21:47
fuente
1

Extraño. Trate de escanear ese puerto con mayor verbosidad para ver qué está pasando. 

sudo nmap -vv --packet-trace -p 65301 -sV x.x.x.x
    
respondido por el StackzOfZtuff 06.06.2015 - 09:46
fuente
0

Desde la salida del rastreo de paquetes, nmap envió una solicitud de SYN de TCP [S] al puerto 65301. Nmap recibió una respuesta de 65301 con un Reconocimiento de Reinicio [RA] - está reconociendo su paquete Syn y luego reiniciando la conexión . 

SENT (0.1877s) TCP y.y.y.y:53502 > x.x.x.x:65301 S ttl=53 id=3258 iplen=44  seq=3444593130 win=1024 <mss 1460>

RCVD (0.2352s) TCP x.x.x.x:65301 > y.y.y.y:53502 RA ttl=255 id=62434 iplen=40  seq=0 win=0

Está recuperando muchas cosas en el puerto 41094, por lo que parece que esta conexión requiere varios puertos para funcionar. 

RCVD (0.1881s) TCP x.x.x.x:36876 > y.y.y.y:41094 RA ttl=255 id=62429 iplen=40  seq=0 win=0 
RCVD (0.2064s) TCP x.x.x.x:21053 > y.y.y.y:41094 RA ttl=255 id=62430 iplen=40  seq=0 win=0 
RCVD (0.2084s) TCP x.x.x.x:42352 > y.y.y.y:41094 RA ttl=255 id=62431 iplen=40  seq=0 win=0 
RCVD (0.2110s) TCP x.x.x.x:4036 > y.y.y.y:41094 RA ttl=255 id=62432 iplen=40  seq=0 win=0 
RCVD (0.2308s) TCP x.x.x.x:30952 > y.y.y.y:41094 RA ttl=255 id=62433 iplen=40  seq=0 win=0

Dado que todas las conexiones han vuelto [RA], estas también se están restableciendo. Es muy probable que para establecer correctamente la conexión, debe proporcionar algunos datos iniciales / cookie / encabezado, algo para establecer la comunicación.

Este puerto está marcado como Abierto porque recibe bastante información en respuesta al paquete SYN, pero falta una pieza para establecer correctamente un canal de comunicaciones.

    
respondido por el Andrew 24.03.2017 - 15:13
fuente

Lea otras preguntas en las etiquetas

ataques de autenticación basados en token ¿Son legales las pulsaciones de teclas y los registradores de clics? [cerrado]