Heredé una pequeña red y actualmente estoy evaluando su rendimiento de seguridad.
Comencé a escanear puertos en un host (llamémoslo Weirdo ) en esa pequeña red y, desde mi perspectiva, parece que ese host específico tiene algún tipo de detector de escaneo de puertos y / o ofuscador de resultados de escaneo con iptables en marcha, porque el resultado que viene del escaneo intenso difiere mucho del de rápido uno.
Así que aquí el rápido escanea el resultado me@mypc:~# nmap -T4 -F 12.34.56.78
:
Starting Nmap 7.01 ( https://nmap.org ) at 2017-04-18 11:48 CEST
Nmap scan report for 12.34.56.78
Host is up (0.57s latency).
Not shown: 93 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
3306/tcp open mysql
8080/tcp open http-proxy
8443/tcp open https-alt
Nmap done: 1 IP address (1 host up) scanned in 4.15 seconds
Esto realmente muestra el mismo resultado que ejecutando el análisis rápido desde Weirdo localhost root@Weirdo:~# nmap -T4 -F localhost
.
Pero este es el análisis intenso me@mypc:~# nmap -T4 -A -v 12.34.56.78
:
1/tcp open tcpmux?
...(every port is shown as open, except a few)
49155/tcp open unknown
...
9102/tcp open jetdirect?
...
65389/tcp open tcpwrapped
...
Completed SYN Stealth Scan at 11:49, 18.22s elapsed (1000 total ports)
...
Not shown: 120 closed ports
Nota: ...
significa la repetición de la línea anterior con un número de puerto diferente
Básicamente, el análisis intenso encuentra que hay muchos más puertos abiertos, pero esto es paradójico, porque el análisis intenso en el localhost root@Weirdo:~# nmap -T4 -A -v localhost
de Weirdo también proporciona la misma lista de puertos abiertos que el rápido escanear.
Cuando miro el traceroute , veo lo siguiente:
TRACEROUTE (using port 199/tcp)
HOP RTT ADDRESS
1 1.52 ms 12.99.34.255
2 1.37 ms 12.99.0.3
3 1.09 ms 12.34.56.78
Escaneo de puertos en los dos ips con me@mypc:~# nmap -sV -T4 -O -F --version-light 12.99.34.255 12.99.0.3
Veo que 12.99.34.255
es un cortafuegos Netgear Firewall FVS336Gv2 accesible con el navegador (el puerto 80, está abierto por lo tanto).
Un escaneo rápido consecutivo (1 segundo después), después del escaneo intenso produce el mismo resultado que el escaneo intenso.
Después de esperar un par de segundos y luego volver a realizar el análisis rápido, se obtiene el mismo resultado que el análisis rápido inicial.
¿Es probable que este cortafuegos esté jugando con el escaneo intenso?
Otra pequeña adición:
En el host Weirdo reviso el firewall de iptables y obtengo esto:
root@Weirdo:~# iptables -vL -t filter
Chain INPUT (policy DROP 25288 packets, 1768K bytes)
pkts bytes target prot opt in out source destination
101K 54M ACCEPT all -- lo any anywhere anywhere
189K 12M ACCEPT all -- eth1 any anywhere anywhere
285 9686 ACCEPT icmp -- eth0 any anywhere anywhere icmp echo-request
297 30354 garbage all -- eth0 any anywhere anywhere state INVALID
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: FIN,SYN,RST,PSH,ACK,URG/NONE
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: FIN,SYN/FIN,SYN
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: SYN,RST/SYN,RST
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: FIN,RST/FIN,RST
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: FIN,ACK/FIN
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: PSH,ACK/PSH
0 0 garbage tcp -- eth0 any anywhere anywhere tcpflags: ACK,URG/URG
1968K 2742M ACCEPT all -- eth0 any anywhere anywhere state RELATED,ESTABLISHED
9564 391K ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:http
463 27508 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain
45 2392 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:8443
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:9422
25288 1768K garbage all -- eth0 any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1361K packets, 501M bytes)
pkts bytes target prot opt in out source destination
Chain garbage (9 references)
pkts bytes target prot opt in out source destination
¿Estos filtros reproducen los trucos en el escaneo intenso?
¿Qué significa tener una regla con target garbage
?