Entendiendo la salida de nmap / la explicación del autor ... (Scapy)

2

Acabo de leer este ejemplo y la explicación (a continuación) en el libro de OReilly Security Power Tools (2007) en la sección 6.3 que está escrito por el creador de Scapy, Philippe Biondi. Creo que el ejemplo es muy interesante, pero no entiendo lo que dice. ¿Puede alguien aclarar esta mina de oro de información a la que se refiere?

Here is another example of a tool interpreting a situation:
#nmap 192.168.9.3
Interesting ports on 192.168.9.3:
PORT STATE SERVICE
22/tcp filtered ssh

"Nmap dice que el puerto está filtrado, pero esta respuesta ha sido activada por un host Error de ICMP inalcanzable enviado por el último enrutador. En este contexto, el mensaje ICMP ha sido interpretado como El paquete ha sido bloqueado en su camino hacia el objetivo, mientras que debería haberse interpretado como El paquete debía entregarse, pero el destino no estaba accesible. Esta situación suele ocurrir cuando se permite que un puerto pase un todo Bloqueo de red IP mientras no se utilizan todas las direcciones IP. Esta es una mina de oro de información. cuando quiera configurar una puerta trasera, pero si confía en su herramienta, no solo lo hará extrañas el oro, pero también perderás toda la mina porque Nmap te hace erróneamente asumir que no se puede implantar una puerta trasera allí ".   Herramientas eléctricas de seguridad (2007)

    
pregunta user584583 06.01.2015 - 19:54
fuente

1 respuesta

1

Por lo tanto, puedo darme cuenta de esto, pero esencialmente estoy adivinando las motivaciones del autor, la única persona que puede contestar esto definitivamente.

Lo que parece estar diciendo es que, en el caso de más arriba, el resultado filtrado podría hacerte creer que existe una regla de firewall bloqueando el acceso al puerto 22 / TCP en 192.168.9.3 como tal, tal vez no creas que sea posible usar ese host y puerto para sus propios servicios (asumiendo que usted es el atacante aquí), pero en realidad el acceso a ese host no está bloqueado, la dirección IP simplemente no está asignada.

Es cierto que para obtener lo mejor de herramientas como nmap, debes entender lo que te dicen. "filtrado" para servicios TCP realmente significa "No obtuve una respuesta". Ahora, si solo está verificando hosts que han respondido a algún tipo de comportamiento de ping (el valor predeterminado con nmap), esa respuesta probablemente tenga sentido, ya que el host está presente (respondió a ping) pero no responde en ese puerto (por lo tanto el resultado filtrado).

En su ejemplo anterior, supongo que la exploración se ejecutó con -PN o similar, de modo que nmap escanearía los hosts incluso sin respuesta al ping. En esas circunstancias, "filtrado" significa "no obtuve nada, ese host puede o no estar allí"

    
respondido por el Rоry McCune 06.01.2015 - 20:38
fuente

Lea otras preguntas en las etiquetas