Un par de preguntas sobre el escaneo de puertos

2

Ahora mismo tengo muchas preguntas en mente, pero solo preguntaré las que me intrigan particularmente.

Primero apagado:  - Escaneé mi dirección IPV4 pública; y devolvió algunos puertos que estaban 'abiertos' y algunos de ellos estaban 'filtrados' (como era de esperar), pero luego intenté escanear la dirección IPV4 de mi compañero, quien vive a un par de calles de distancia (sí, ya hice estoy seguro de que él está de acuerdo con esto y que solo lo hago por curiosidad personal), y mostró que todos los puertos que escaneé estaban cerrados y / o filtrados. Probé una gran cantidad de banderas; fragmentación; tiempos y tipos de escaneo realmente lentos; pero cada vez se mostraría que todos los puertos escaneados están cerrados o filtrados. Miré más de cerca y vi que la razón por la que mostraba estos resultados era porque no había "respuesta". ¿Sería este el firewall / IDS bloqueando (cayendo) los paquetes? Tengo problemas para pensar, porque el enrutador al menos no responde a algo como una solicitud de eco en el puerto 7?

2: - (Perdone mi inexperiencia aquí) También escaneo un puerto en un solo puerto, 80 en su dirección IPV4, me envió un ICMP Type3 / Code13 (Comunicación administrativamente prohibida). Pero el aspecto interesante de esto fue que la respuesta vino de una dirección IP diferente, ¿hay alguna explicación para esto? (Yo mismo tuve varias teorías, pero decidí venir aquí para obtener una opinión experta)

3: -En relación con la pregunta 2 anterior, ¿por qué el puerto 80 no está siempre abierto? Si el anfitrión está viendo un video o escuchando algún sitio web de transmisión de música, ¿no debería aparecer abierto el puerto 80? ¿Se debe a que el puerto ve que no es un paquete orientado a HTTP y lo bloquea automáticamente?

También me encantaría que alguien me señalara algunos enlaces explicando su respuesta para poder ampliar mis conocimientos y tal vez responder solo algunas de mis preguntas.

    
pregunta NKTR022 20.10.2015 - 15:16
fuente

2 respuestas

1

1.) Hay algunas variables en juego aquí. Principalmente, ambos están usando diferentes enrutadores (con configuraciones diferentes) y ambos están usando diferentes ISP. (Con diferentes equipos de seguridad y políticas vigentes) El enrutador de su amigo no tiene que responder a nada ... depende de cómo lo haya configurado. No hay un puerto o protocolo definido que siempre pueda usarse para determinar si el activo en el otro extremo está "vivo".

2.) Es común que los ISP bloqueen el tráfico del puerto 80 entrante. Esto evita que los clientes alojen servidores web en sus cuentas personales.

3.) Lo mismo que arriba. Los cortafuegos / enrutadores son de estado , (hoy en día de todos modos) lo que significa que el cortafuegos / enrutador solo responderá a una solicitud que Se inició por primera vez desde dentro de la red. (a menos que se configure de otra manera) Para enturbiar las aguas un poco más, cuando se trata de un NAT (y casi siempre lo está) hay puertos de origen involucrados. Aquí hay una buena explicación de los puertos de origen: enlace

    
respondido por el k1DBLITZ 20.10.2015 - 16:03
fuente
1

Algunas cosas para agregar a la respuesta de k1DBLITZ:

1) Ha escaneado su enrutador desde su red interna. Aunque haya escaneado la dirección IP pública, está accediendo a su enrutador desde la interfaz interna. Supongo que si escanea desde la conexión de su compañero, verá todos los puertos de su enrutador filtrados.

Los indicadores de nmap para el escaneo evasivo rara vez funcionan en estos días. Solo es realmente útil contra dispositivos de red mal configurados.

3) Hay una distinción entre el cliente y el puerto del servidor. HTTP usa el puerto 80 de manera predeterminada, y eso se aplica al puerto del servidor. El cliente elige un puerto TCP de número alto de una manera vagamente aleatoria. Por lo tanto, una conexión web típica sería el puerto de cliente 31234 - > puerto del servidor 80.

En cuanto a los enlaces para leer más, disfrutará de la serie Hacking Exposed.

    
respondido por el paj28 20.10.2015 - 16:26
fuente

Lea otras preguntas en las etiquetas