La exploración de Nmap produce todo lo "desconocido"

Question

La exploración de Nmap produce todo lo "desconocido"

#1 de schroeder (6 votos)
#2 de bonsaiviking (1 votos)

6

Exploré tanto el host local como la dirección IP del adaptador de LAN, y esta es la salida producida.

Starting Nmap 5.51 ( http://nmap.org ) at 2012-10-12 18:06 Eastern Daylight Time
Skipping SYN Stealth Scan against localhost (127.0.0.1) because Windows does not support scanning your own machine (localhost) this way.
Nmap scan report for localhost (127.0.0.1)
Host is up.
PORT      STATE   SERVICE
1/tcp     unknown tcpmux
3/tcp     unknown compressnet
4/tcp     unknown unknown
6/tcp     unknown unknown
7/tcp     unknown echo
9/tcp     unknown discard
13/tcp    unknown daytime
17/tcp    unknown qotd
19/tcp    unknown chargen
20/tcp    unknown ftp-data
-------redacted-for-posting-purposes-------
60020/tcp unknown unknown
60443/tcp unknown unknown
61532/tcp unknown unknown
61900/tcp unknown unknown
62078/tcp unknown iphone-sync
63331/tcp unknown unknown
64623/tcp unknown unknown
64680/tcp unknown unknown
65000/tcp unknown unknown
65129/tcp unknown unknown
65389/tcp unknown unknown

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Desconocido para todos los puertos escaneados. Luego procedí a escanear "scanme.nmap.org", y obtuve resultados regulares como se esperaba al escanear ese servicio.

¿Alguna sugerencia?

nmap

pregunta Brendan Beals 13.10.2012 - 00:15

fuente

2 respuestas

Lea otras preguntas en las etiquetas nmap

¿Puede el administrador de la red detectar el escaneo de puertos en un host determinado? ¿Qué riesgos existirían al transmitir un PKCS12 encriptado a través de Https?

score 6 · Answer 1

El problema es con Windows y escanear la máquina local. Nmap en Windows no funciona de la misma manera que lo hace en Linux debido a las diferencias en la forma en que se accede a la NIC. En realidad no se está conectando a cada puerto desde un proceso separado, sino que se está conectando a sí mismo. Esta es la razón por la cual el escaneo hace que se enumeren todos los puertos y se omite la conexión a cada puerto.

Como prueba, escanee los puertos 8 y 18 (omitidos en el escaneo anterior). Suponiendo que originalmente realizó una exploración predeterminada, esos puertos no se probarían. Si los prueba específicamente, también deberían aparecer como 'desconocidos'.

score 1 · Answer 2

Esta salida se espera cuando se escanea de Windows a localhost (127.0.0.1, :: 1, o una dirección IP que pertenece al sistema de escaneo en sí), pero solo para las versiones de Nmap lanzadas antes de julio de 2016. Nmap 7.25BETA1 agregó el escaneo de localhost de Windows con el uso del nuevo Npcap biblioteca de captura de paquetes , por lo que esto ya no será un problema.

Las razones técnicas para esto se remontan a Windows XP. En versiones de Windows anteriores a XP Service Pack 2, era posible que los programas usaran sockets sin procesar para enviar las sondas personalizadas Nmap Usos para escaneos SYN y detección de SO. Pero luego Steve Gibson, de GRC.com, escribió un artículo popular que afirmaba que los sockets en bruto se utilizarían para DDoS en todo el Internet y, por lo tanto, deberían eliminarse. Esto, por supuesto, fue incorrecto , pero en XP SP2, Microsoft eliminó la mayoría de las formas de sockets en bruto .

En respuesta a esto, Nmap se trasladó al envío de tramas Ethernet sin formato a través de WinPcap (ahora Npcap), que irónicamente todavía permite el mismo tipo de suplantación de tráfico que Gibson estaba preocupado. Sin embargo, no es perfecto: requiere que el controlador de filtro de paquetes se ejecute en la interfaz que se usa para enviar el tráfico, y solo funciona en los tipos de enlace que admiten / requieren un encabezado de trama Ethernet: Ethernet, 802.11 WiFi, etc. Otros tipos de enlace que no funcionará incluye túneles PPP, VPN y, por supuesto, tráfico de bucle de retorno. El tráfico de bucle invertido no se admite porque no se eleva lo suficiente en la pila de red interna del sistema operativo para permitir la intercepción o inyección por parte del controlador WinPcap NDIS. Npcap supera este obstáculo al crear una nueva interfaz de bucle invertido para forzar al tráfico local a pasar por la pila completa donde se puede observar y modificar.