Nmap - Respuesta inconsistente del puerto

Question

Nmap - Respuesta inconsistente del puerto

#1 de camp0 (0 votos)
#2 de bashCypher (0 votos)

0

¿Cuáles podrían ser las posibles razones para escanear un puerto y obtener una respuesta abierta (syn-ack) y luego obtener una respuesta cerrada (primera) dentro de un pequeño período de tiempo?

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:01 AST
Nmap scan report for 10.0.2.13
Host is up, received reset ttl 127 (0.14s latency).
PORT   STATE SERVICE REASON
80/tcp open  http    syn-ack ttl 127

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:06 AST 
Nmap scan report for 10.0.2.13 
Host is up, received reset ttl 127 (0.14s latency). 
PORT   STATE  SERVICE REASON
80/tcp closed http    reset ttl 127

Creo que he eliminado la posibilidad de un firewall debido a que no recibí ninguna respuesta para un "paquete de bsum"

nmap

pregunta aat700 25.03.2018 - 16:58

fuente

2 respuestas

Lea otras preguntas en las etiquetas nmap

Desde el punto de vista de la seguridad, ¿hay algún error al ejecutar comandos de masilla repetitivos desde la línea de comandos? ¿Las conexiones RDP a través de Remote Desktop Gateway están afectadas por CVE-2018-0886?

score 0 · Answer 1

Si haces un tcpdump de una sesión de nmap, verás que nmap envía una gran cantidad de paquetes, este patrón es muy fácil de detectar, y probablemente tu sesión haya sido detectada y luego bloqueada automáticamente. Los escaneos de puertos son fáciles de detectar por firewalls u otros sistemas, eso es lo que creo.

score 0 · Answer 2

Es posible que esto sea el resultado de una IP virtual. Si hay varios hosts vinculados a una dirección IP, como si estuviera detrás de un equilibrador de carga, puede extraer un host en una llamada y otro en la siguiente, y posiblemente uno tenga un problema con su servidor web. Aquí hay algunas opciones para solucionar problemas:

Haga telnet al puerto y vea si falla intermitentemente o si funciona cada vez.

telnet 10.0.2.13 80

También puede ejecutar nmap en modo de depuración e intentar obtener una mejor vista de lo que está sucediendo.

nmap -d3 -p80 10.0.2.13

y puedes hacer DNS inverso para ver si tiene un nombre VIP:

dig -x 10.0.2.13

También es posible que sea limitante de velocidad. Debug NMAP debería detectar eso, pero un rasguño de wirehark podría ser más útil para ver las respuestas enviadas a su cliente.