nmap que muestra direcciones IP desconocidas en una red privada

9

Intenté escanear mi red doméstica con nmap , haciendo un 192.168.0.0/16 netscan. Para mi sorpresa, los resultados muestran múltiples dispositivos en vivo no solo en 192.168.1.x (donde están todos nuestros dispositivos conocidos ) sino en 192.168.2.x !

configuración :

  • ubuntu 11.10
  • nmap 5.21
  • conexión wifi doméstica en la red privada (192.168.1.x)
  • la configuración del enrutador inalámbrico estará en 192.168.1.1 / 255.255.255.0
  • DHCP habilitado
  • solo conectado a nuestra propia red wifi segura
  • todos nuestros dispositivos y computadoras están en la red 192.168.1.x
  • los registros del enrutador no muestran ninguna IP 192.168.2.x (los contratos DHCP y los registros de wifi solo muestran las IP de nuestros dispositivos)

subconjunto de resultados de nmap :

$ nmap 192.168.2.0/24

Starting Nmap 5.21 ( http://nmap.org ) at 2012-07-05 21:30 CEST
Nmap scan report for 192.168.2.1
Host is up (0.045s latency).
All 1000 scanned ports on 192.168.2.1 are closed

Nmap scan report for 192.168.2.3
Host is up (0.048s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for 192.168.2.69
Host is up (0.045s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
631/tcp  open  ipp
2049/tcp open  nfs

Nmap scan report for 192.168.2.77
Host is up (0.067s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
80/tcp open  http

Nmap scan report for 192.168.2.78
Host is up (0.044s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
80/tcp open  http

Nmap scan report for 192.168.2.80
Host is up (0.012s latency).
Not shown: 841 closed ports, 149 filtered ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
23/tcp    open  telnet
37/tcp    open  time
80/tcp    open  http
2000/tcp  open  cisco-sccp
5003/tcp  open  filemaker
5004/tcp  open  unknown
32769/tcp open  unknown
32770/tcp open  sometimes-rpc3

Nmap scan report for 192.168.2.84
Host is up (0.043s latency).
Not shown: 843 closed ports, 149 filtered ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
23/tcp    open  telnet
37/tcp    open  time
80/tcp    open  http
5003/tcp  open  filemaker
5004/tcp  open  unknown
32769/tcp open  unknown

Nmap scan report for 192.168.2.89
Host is up (0.014s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http

Nmap scan report for 192.168.2.90
Host is up (0.063s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
23/tcp   open  telnet
80/tcp   open  http
111/tcp  open  rpcbind
6000/tcp open  X11
8088/tcp open  unknown
...

aquí hay algunas respuestas de telnet :

$ telnet 192.168.2.80
Trying 192.168.2.80...
Connected to 192.168.2.80.
Escape character is '^]'.

Linux 2.6.10-mV01-00-54 (localhost.localdomain) (0)

dcm login:

y

$ telnet 192.168.2.90
Trying 192.168.2.90...
Connected to 192.168.2.90.
Escape character is '^]'.


        Welcome to Appear TV Embedded Software Environment


dvbs2 login:

parece equipo de red, TV digital, etc. ¡pero ninguno de estos está conectado a nuestro enrutador! ¿Alguien tiene alguna idea de cómo podría ser esto?

EDIT : de alguna manera nmap --traceroute no funciona en este caso, pero traceroute devuelve algunos resultados interesantes:

$ nmap --traceroute 192.168.2.90

Starting Nmap 5.21 ( http://nmap.org ) at 2012-07-07 14:48 CEST
Warning: Traceroute does not support idle or connect scan, disabling...
Nmap scan report for 192.168.2.90...

$ traceroute  192.168.2.69
traceroute to 192.168.2.69 (192.168.2.69), 30 hops max, 60 byte packets
 1  RT-G32 (192.168.1.1)  1.240 ms  1.375 ms  1.589 ms
 2  10.17.64.1 (10.17.64.1)  10.396 ms  10.400 ms  10.372 ms
 3  192.168.100.13 (192.168.100.13)  14.912 ms  16.572 ms  16.487 ms
 4  192.168.2.69 (192.168.2.69)  13.146 ms  13.127 ms  14.658 ms

$ traceroute  192.168.2.90
traceroute to 192.168.2.90 (192.168.2.90), 30 hops max, 60 byte packets
 1  RT-G32 (192.168.1.1)  1.466 ms  1.418 ms  1.551 ms
 2  10.17.64.1 (10.17.64.1)  11.025 ms  11.005 ms  10.975 ms
 3  192.168.100.13 (192.168.100.13)  10.958 ms  15.729 ms  15.715 ms
 4  192.168.2.90 (192.168.2.90)  15.640 ms  15.561 ms  15.532 ms

Estoy desconcertado en cuanto a cómo tengo un enlace en 10.17.64.1 ? ¿Dónde exactamente en el RFC1918 hay una referencia a este problema?

    
pregunta fduff 05.07.2012 - 22:16
fuente

4 respuestas

3

después de algunas exploraciones adicionales, y traceroute diffs entre diferentes direcciones en Internet, resultó ser una red privada como parte de la infraestructura del ISP, que también explicaría el equipo de TV digital, etc.

    
respondido por el fduff 11.07.2012 - 20:44
fuente
8

Como dijo bonsaiviking, probablemente pertenece a un vecino. Déjelo solo y evite el riesgo de meterse en problemas con la ley.

Si realmente desea obtener más información, siempre puede probar algunos escaneos de nmap.

nmap --traceroute 192.168.2.0/24
nmap -sV -A 192.168.2.0/24
nmap -O 192.168.2.0/24

Más información debería ayudarte a identificar mejor qué tipo de máquinas son y dónde están.

    
respondido por el Ayrx 06.07.2012 - 02:58
fuente
2

El equipo que encontró es un chasis modular utilizado en la transmisión de video. Tiene un enrutamiento interno para los módulos internos y utiliza el rango 192.168.2.x, tengo uno en el trabajo. Así que definitivamente está en su red IPS y no lo están filtrando correctamente.

    
respondido por el Alex 07.01.2014 - 12:37
fuente
0

Ejecutaría el escáner de IP de escaneo automático o enojado, echaría un vistazo a qué tipo de máquinas son y si tienen algún recurso compartido que pueda identificar a las máquinas o al propietario. También vea si 192.168.2.1 está vivo, si es así, vea si puede acceder a él en Internet Explorer para identificar el enrutador en el que se encuentra y si es su punto de acceso o no. Deshabilite también WPS si aún no lo ha hecho en su enrutador, es muy fácil descifrar las contraseñas usando reaver.

    
respondido por el Brad 11.07.2012 - 22:37
fuente

Lea otras preguntas en las etiquetas