nmap informa que un host remoto está activo, mientras está apagado? [cerrado]

1

Quiero examinar de forma remota si algunos servidores están activos.

No uso el comando ping porque da muchos resultados erróneos como "host de destino inalcanzable" y "solicitud de tiempo de espera" debido a una mala infraestructura de red.

Intento usar el comando nmap para examinar servidores por puertos abiertos. Nmap me da los verdaderos puertos abiertos, pero cuando apago el servidor, nmap aún informa que se está ejecutando.

El cliente inicia sesión en Internet a través de un módem USB, y el host de destino que examino está conectado a Internet a través de un punto de acceso TP-Link con un módem USB y una IP estática.

Cuando apago el punto de acceso completamente y ejecuto este comando:

nmap -p 80 -vv 105.198.224.47

Starting Nmap 7.01 ( https://nmap.org ) at 2017-01-31 11:54 EET

Initiating Ping Scan at 11:54

Scanning 105.198.224.47 [2 ports]

Completed Ping Scan at 11:54, 0.61s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 11:54

Completed Parallel DNS resolution of 1 host. at 11:54, 0.01s elapsed

Initiating Connect Scan at 11:54

Scanning 105.198.224.47 [1 port]

Discovered open port 80/tcp on 105.198.224.47

Completed Connect Scan at 11:54, 0.09s elapsed (1 total ports)

Nmap scan report for 105.198.224.47

Host is up, received syn-ack (0.55s latency).

Scanned at 2017-01-31 11:54:17 EET for 0s

PORT   STATE SERVICE REASON

80/tcp open  http    syn-ack


Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.78 seconds

Y cuando se pone la ip en un navegador da:

"No se puede acceder a este sitio"

"La conexión se restableció."

Esto sucede en ambas situaciones cuando se enciende y apaga.

traceroute cuando el punto de acceso está activado da:

traceroute to 105.198.224.47 (105.198.224.47), 30 hops max, 60 byte packets

 1  192.168.9.1 (192.168.9.1)  1.667 ms  1.768 ms  2.508 ms

 2  * * *

 3  10.255.224.106 (10.255.224.106)  759.425 ms  769.911 ms  770.401 ms

 4  10.255.224.114 (10.255.224.114)  770.142 ms  770.508 ms  770.871 ms

 5  10.255.224.124 (10.255.224.124)  771.866 ms  771.859 ms  779.227 ms

 6  105.199.1.3 (105.199.1.3)  780.458 ms  792.637 ms  792.453 ms

 7  163.121.143.88 (163.121.143.88)  803.571 ms  51.573 ms  41.250 ms

 8  163.121.143.75 (163.121.143.75)  49.261 ms  49.264 ms  49.384 ms

 9  * * *

10  * * *

11  * * *

12  * * *

13  * * *

14  * * *

15  * * *

16  * * *

17  * * *

18  * * *

19  * * *

20  * * *

21  * * *

22  * * *

23  * * *

24  * * *

25  * * *

26  * * *

27  * * *

28  * * *

29  * * *

30  * * *

ejecutar traceroute cuando el punto de acceso desactivado da el mismo resultado, pero los cambios solo en los valores de mili segundos ms.

Entonces, ¿cuál es la explicación de este comportamiento?

    
pregunta saber 30.01.2017 - 22:23
fuente

2 respuestas

1

¿Qué tiene, en cuanto a la red, entre usted y sus servidores?

Cualquier elemento activo (enrutador, firewall, etc.) puede modificar su tráfico, por lo tanto:

  1. el hecho de que el ping no funcione puede no estar relacionado con el estado de su servidor. El tráfico ICMP a menudo es algo completamente filtrado
  2. su caso de nmap es extraño, pero aún puede explicarse de la misma manera, también depende si usa un nombre o una IP

En ambos casos, para monitorear realmente las cosas, debe usar un servicio que controle en el servidor (como ssh, http o algo más específico), conectarse a él y verificar que obtiene lo que espera (un resultado específico).

    
respondido por el Patrick Mevzek 30.01.2017 - 23:22
fuente
-2

Si la información que proporcionó es correcta, es completamente posible que haya sido víctima de un llamado ataque "hombre en el medio":

enlace

  

En seguridad informática, un ataque de hombre en medio (a menudo abreviado)   mitm, o lo mismo usando todas las letras mayúsculas) es un ataque donde el   El atacante retransmite secretamente y posiblemente altera la comunicación entre   dos partes que creen que se están comunicando directamente con cada uno   otro. Un ataque de hombre en el medio puede usarse contra muchos   protocolos Un ejemplo de ataques de hombre en medio es activo.   escuchas ilegales, en las que el atacante hace conexiones independientes   Con las víctimas y transmite mensajes entre ellos para hacerles creer.   están hablando directamente entre sí a través de una conexión privada,   cuando, de hecho, toda la conversación está controlada por el atacante.

Tomando la información proporcionada a su valor nominal, esta es una explicación plausible. El mejor curso de acción, si cree que este es el caso, probablemente sería intentar el uso de NAPPping (o hacer ping) en la computadora a través de un proxy. Este puede solucionar el problema, según la fuente y la naturaleza de MitM.

    
respondido por el Just In Time Berlake 30.01.2017 - 23:06
fuente

Lea otras preguntas en las etiquetas