Nmap - Respuesta inconsistente del puerto

0

¿Cuáles podrían ser las posibles razones para escanear un puerto y obtener una respuesta abierta (syn-ack) y luego obtener una respuesta cerrada (primera) dentro de un pequeño período de tiempo?

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:01 AST
Nmap scan report for 10.0.2.13
Host is up, received reset ttl 127 (0.14s latency).
PORT   STATE SERVICE REASON
80/tcp open  http    syn-ack ttl 127
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:06 AST 
Nmap scan report for 10.0.2.13 
Host is up, received reset ttl 127 (0.14s latency). 
PORT   STATE  SERVICE REASON
80/tcp closed http    reset ttl 127

Creo que he eliminado la posibilidad de un firewall debido a que no recibí ninguna respuesta para un "paquete de bsum"

    
pregunta aat700 25.03.2018 - 16:58
fuente

2 respuestas

0

Si haces un tcpdump de una sesión de nmap, verás que nmap envía una gran cantidad de paquetes, este patrón es muy fácil de detectar, y probablemente tu sesión haya sido detectada y luego bloqueada automáticamente. Los escaneos de puertos son fáciles de detectar por firewalls u otros sistemas, eso es lo que creo.

    
respondido por el camp0 25.03.2018 - 22:38
fuente
0

Es posible que esto sea el resultado de una IP virtual. Si hay varios hosts vinculados a una dirección IP, como si estuviera detrás de un equilibrador de carga, puede extraer un host en una llamada y otro en la siguiente, y posiblemente uno tenga un problema con su servidor web. Aquí hay algunas opciones para solucionar problemas:

Haga telnet al puerto y vea si falla intermitentemente o si funciona cada vez.

telnet 10.0.2.13 80

También puede ejecutar nmap en modo de depuración e intentar obtener una mejor vista de lo que está sucediendo.

nmap -d3 -p80 10.0.2.13

y puedes hacer DNS inverso para ver si tiene un nombre VIP:

dig -x 10.0.2.13

También es posible que sea limitante de velocidad. Debug NMAP debería detectar eso, pero un rasguño de wirehark podría ser más útil para ver las respuestas enviadas a su cliente.

    
respondido por el bashCypher 24.07.2018 - 02:10
fuente

Lea otras preguntas en las etiquetas