Resultados diferentes con NMAP: filtrados + tcpwrapped

1

¿Cuál podría ser la razón por la que NMAP está dando un resultado diferente al escanear:

  1. dominios masivos?
  2. detección de servicio habilitada?

Primera pregunta

Al escanear en masa, de donde forma parte el dominio X, este es el resultado que obtengo:

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   filtered     smtp
80/tcp   open     http

Al escanear el mismo dominio X individualmente:

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
80/tcp   open     http

Entonces, ¿por qué se muestra filtrado como Estado cuando se escanea en masa? Y cuando se escanea individualmente, muestra el estado como abierto ?

Segunda pregunta:

Cuando habilito la detección de servicio (-sV), esto es lo que obtengo del análisis del dominio X individualmente:

PORT     STATE    SERVICE      VERSION
21/tcp   open     tcpwrapped
22/tcp   open     tcpwrapped
25/tcp   open     smtp         Postfix smtpd
80/tcp   open     http         Apache httpd

¿Por qué el servicio del puerto 21 y 22 del mismo dominio sale del repentino tcpwrapped ?

El mismo comportamiento existe cuando se escanea nuevamente de forma masiva, con detección de servicio.

Esto tiene sentido!

¿Alguien ha tenido una idea de cómo puedo escanear en masa, sin obtener un "tcpwrapped" o un "filtrado" como resultado?

¡Gracias!

    
pregunta Steven Tjong 17.07.2017 - 19:52
fuente

1 respuesta

2

Es probable que su análisis "masivo" de muchas IP haya activado un firewall o IPS para dejar caer sus sondas en lugar de dejarlas pasar. El patrón de "tratar de conectarse a muchas IP diferentes en el mismo puerto" es fácil de detectar. Esta es la causa más probable del estado de puerto filtered . Reduzca la velocidad de su exploración hasta que no cruce el umbral que el IPS considera como "lotes".

En la primera exploración, Nmap no intentó probar los servicios, sino solo determinar el estado de los puertos. Debido a que no intentó probar el servicio, enumera el nombre del servicio utilizado comúnmente para ese número de puerto, que se encuentra al buscarlo en el archivo nmap-services . Esta es la fuente de las etiquetas "ftp" y "ssh".

En el segundo escaneo, la opción -sV le dice a Nmap que siga adelante e intente obtener una respuesta del servicio para clasificarlo. Puede ser que alguien esté utilizando el puerto 21 para ejecutar un servidor web y no un servidor FTP. Cuando trató de hacer esto, el objetivo cerró inmediatamente la conexión. Este comportamiento suele ser evidencia de un programa llamado TCP Wrapper , que cuelga conexiones como esta si la IP remota (la suya) es no en una lista aprobada. Otros dispositivos de red pueden generar resultados similares, pero la cadena tcpwrapped seguirá mostrándose. Nmap ya no usa "ftp" o "ssh" para estos puertos porque un simple servidor FTP o SSH no se comportaría de esta manera.

Recomiendo reducir la velocidad de su escaneo para tratar de evitar la detección, y agregar las opciones -v --reason para ver la razón y el valor del campo TTL recibido para cada puerto. Comparar esto puede dar una idea de dónde proviene la respuesta (o ninguna respuesta): el objetivo o algo entre usted y el objetivo.

    
respondido por el bonsaiviking 18.07.2017 - 15:57
fuente

Lea otras preguntas en las etiquetas