¿El escaneo de Nmap por un solo puerto es demasiado rápido? Muestra como se filtra?

Navega tus respuestas
0

Me encontré con un problema al intentar escanear un solo puerto en una sola máquina. Ejecuté un escaneo de rango para encontrar máquinas con el puerto 25 abierto. Entonces simplemente elegí arbitrariamente uno para trabajar. Escaneo esa máquina con el puerto 25, y de repente aparece filtered en lugar de open .

Empiezo a hacer pequeños retoques para ver si puedo intentar solucionar este problema. Primero, trato de ejecutar el mismo análisis nuevamente para ver si tal vez obtuve la IP incorrecta. Misma lista, pero elegí el siguiente resultado. Pruebe la nueva IP con el puerto 25, muestra filtered .

Ahora estoy tratando de averiguar cómo puedo conseguir que muestre open en esa IP. Escaneo la misma IP única sin un puerto especificado, y el puerto 25, junto con otros, se muestran como open . Escanee la misma IP con solo el puerto 25 y dice filtered . Agrego un puerto más del escaneo anterior, y el puerto 25 y el otro puerto se muestran como open .

Me confunde por qué la ejecución de nmap -p 25 [IP] me da 25/tcp filtered smtp , pero la ejecución del mismo comando con al menos dos puertos me da un resultado positivo.

¿Me estoy perdiendo algo? ¿Alguien puede explicar lo que estoy haciendo mal?

Escribí en el título que tal vez el escaneo fue demasiado rápido, porque ya había probado la marca -T.

Los comandos que utilicé en el proceso de solución de problemas y su resultado: 

nmap 10.11.1.227
...
PORT     STATE SERVICE
21/tcp   open  ftp
25/tcp   open  smtp
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
1026/tcp open  LSA-or-nterm
1028/tcp open  unknown
3372/tcp open  msdtc
5800/tcp open  vnc-http
5900/tcp open  vnc

Probé un puerto con scripts (que falló, así que probé un puerto sin scripts): 

nmap -p 25 10.11.1.227
...
PORT   STATE    SERVICE
25/tcp filtered smtp

Probé dos puertos que sé que están abiertos: 

nmap -p 25,5900 10.11.1.227
...
PORT     STATE SERVICE
25/tcp   open  smtp  
5900/tcp open  vnc

En ese momento, pienso si probar un puerto es demasiado rápido y decido probar -T4, luego -T3, y finalmente: 

nmap -p 25 -T2 10.11.1.227

Me da un resultado positivo. Así que el problema se solucionó ¿verdad? No en mi cabeza. Quiero saber si estoy haciendo algo mal, o si esto es inevitable, y solo tengo que aceptar la solución tal como está. Y si ese es el caso, y alguien sabe por qué, también me gustaría saber por qué ese es el caso.

    
pregunta Shelby M. 06.10.2018 - 06:30
fuente

3 respuestas

1

De hecho, parece un problema de tiempo. nmap puede estar agotando el tiempo en el escaneo único e informando los resultados como filtered . Con los otros puertos o sistemas incluidos en la exploración, el tiempo de espera puede ser diferente.

Para averiguar qué está sucediendo, tendrá que ejecutar una captura de paquetes. Wireshark es la herramienta de facto para esto. Ejecute nmap -p 25 10.11.1.227 y capture los resultados, luego ejecute nmap -p 25,5900 10.11.1.227 y capture los resultados. Compara las diferencias. Lo más probable es que las diferencias sean obvias.

En general, cuando suceden cosas como estas, siempre vaya a las trazas de paquetes para ver qué está pasando. Aprenderás mucho.

    
respondido por el schroeder 06.10.2018 - 16:02
fuente
-1

Filtrado significa que el puerto está protegido por un firewall instalado por la empresa. No puede enviar ni recibir información a través de ese puerto ya que usted es un forastero. Hacer un poco de investigación sobre el filtrado de puertos. En realidad, es una acción de seguridad para evitar el acceso no autorizado a la red de su empresa. Puedes evadir el firewall con estos comandos en nmap. Buena suerte

enlace (Consulte la sección de evasión de firewall en la parte inferior)

enlace

    
respondido por el Mohin Paramasivam 06.10.2018 - 07:31
fuente
-1

Usa -Pn

  

-Pn: trata a todos los hosts como en línea: omitir el descubrimiento del host

nmap -Pn -p 25 [IP address]

Igualmente, -T<0-5> le permite establecer el tiempo.

  

-T < 0-5 & gt ;: Establecer plantilla de tiempo (más alto es más rápido) 

nmap -T4 -p 25 [IP address]

Nmap tiene una guía de referencia Tiempo y rendimiento .

Vea, Por qué ¿Algunos puertos notificados por nmap están filtrados y no los otros?

    
respondido por el safesploit 06.10.2018 - 12:01
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionan las huellas dactilares de os y cómo evitarlas en el navegador? [duplicar] ¿Puede proteger una aplicación web de FireSheep sin usar SSL?