¿Por qué la lista de hosts de escaneo NMAP está activa? [cerrado]

7

Al ejecutar un escaneo NMAP de mi red interna (192.168.1.0/24) desde mi Mac, NMAP ve todos los hosts como en vivo. También cree que hay un servicio http del puerto 80 que se ejecuta en cada IP cuando no tengo 254 hosts configurados en mi red. Aunque parezca extraño, telnetting a cualquier IP en el puerto 80 responde con una conexión, incluso si no hay un host en esa IP. ¿Podría haber algo en mi aeropuerto (Bridged) o en el enrutador FIOS (servidor DHCP) que responde a TODAS las IP, independientemente de si están activas o muertas?

Aquí hay algunos resultados:

Ping scan (-sP) output: 
Xac124$ nmap -sP -v 192.168.1.0/24

Starting Nmap 6.25 ( http://nmap.org ) at 2014-11-03 14:37 EST
Initiating Ping Scan at 14:37
Scanning 256 hosts [2 ports/host]
Completed Ping Scan at 14:37, 1.33s elapsed (256 total hosts)
Initiating Parallel DNS resolution of 256 hosts. at 14:37
Completed Parallel DNS resolution of 256 hosts. at 14:37, 0.24s elapsed
Nmap scan report for 192.168.1.0
Host is up (0.0071s latency).
Nmap scan report for 192.168.1.1
Host is up (0.0092s latency).
Nmap scan report for 192.168.1.2
Host is up (0.0083s latency).
Nmap scan report for 192.168.1.3
Host is up (0.0076s latency).
Nmap scan report for 192.168.1.4
Host is up (0.0070s latency).
Nmap scan report for 192.168.1.5
Host is up (0.0062s latency).
(To IP .255)

En una exploración de -PT de la red 192.168.1.0/24, muestra los siguientes 3 puertos (80, 3128, 8080) abiertos para cada IP en la red, incluidas las IP donde no hay hosts instalados, por ejemplo:

Nmap scan report for 192.168.1.12
Host is up (0.00047s latency).
Not shown: 997 closed ports
PORT     STATE SERVICE
80/tcp   open  http
3128/tcp open  squid-http
8080/tcp open  http-proxy

Nmap scan report for 192.168.1.13
Host is up (0.00090s latency).
Not shown: 997 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
3128/tcp open  squid-http
8080/tcp open  http-proxy

Nmap scan report for 192.168.1.14
Host is up (0.00071s latency).
Not shown: 997 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
3128/tcp open  squid-http
8080/tcp open  http-proxy

(All the way to IP .255)

Sin embargo, si hago telnet a través del puerto 80 a cualquier IP que NO tenga un host, sí obtengo una conexión. Pero no obtenga nada a cambio cuando escriba algunos comandos html de prueba:

Xac124$ telnet 192.168.1.241 80
Trying 192.168.1.241...
Connected to 192.168.1.241.
Escape character is '^]'.
GET / HTTP/1.1
HOST: 192.168.1.241


Connection closed by foreign host.

¿Alguien tiene una idea de qué podría estar causando este comportamiento? Tal vez una configuración en mi enrutador FIOS (Actiontec)?

    
pregunta Jay2040 03.11.2014 - 22:06
fuente

2 respuestas

3

Gracias. Aparte de usar nmap integrado en el mac, también estaba usando Kali en una imagen de VirtualBox que estaba experimentando el mismo problema.

Comencé a creer que el problema estaba siendo causado por el enrutador Fios Actiontec, pero durante mis pruebas, estaba jugando con la configuración de red de Virutalbox para la imagen. Al configurar la máquina virtual Kali para usar el modo puente en lugar de NAT, Kali comenzó a funcionar bien. Todavía no funciona con el nmap de Mac, pero ahora que Kali está funcionando, no importa.

¡Gracias por toda la ayuda!

    
respondido por el Jay2040 04.11.2014 - 02:34
fuente
0

-Todos los clientes están arriba probablemente debido a que un firewall causa interferencias, esto podría ser desde su computadora al enrutador. También he experimentado la ejecución de ejecutar nmap en mac y todavía tengo que diagnosticar el problema correctamente. Mientras tanto, puede arrancar desde un Kali Live DVD o Backtrack, luego, si el problema persiste, cambie la configuración del firewall del enrutador.

: en los casos, las redes pueden evitar el sondeo al no responder a ciertas solicitudes, como alternativa, el enrutador podría enviar resultados diciendo que un cliente está activo cuando en realidad no lo está. (construido en función de seguridad)

    
respondido por el safesploit 03.11.2014 - 22:42
fuente

Lea otras preguntas en las etiquetas