Puertos desconocidos que se muestran en el escaneo de Nmap ... y otros comportamientos extraños

Navega tus respuestas
6

Mi red local ha estado mostrando un comportamiento inexplicable.

En primer lugar, la conexión con el nombre de dominio de mi sitio web desde dentro de la LAN me redirigió a la página de inicio de sesión del enrutador. Verifiqué nuevamente con 3g y descubrí que no sucedió desde fuera de la red. Esto nunca ha sucedido antes y no ha sucedido desde entonces.

Me preocupaba que la página estuviera siendo falsificada por lo que no presenté ningún dato. Un traceroute me llevó directamente a mi wan ip, sin parar en 192.168.1.1.

EDITAR: Creo que he resuelto este aspecto. Tengo una dirección IP dinámica, por lo que si cambia (debido a un corte de energía o algo así), creo que lleva tiempo actualizar mi servicio DynDNS. Aunque esto lo maneja el enrutador y no sé por qué no lo hace en el arranque. Puede que tenga que hacer mi propio actualizador.

Además, y el análisis de Nmap de 0.0.0.0 reveló esto: 

$ nmap 0.0.0.0\
\
Starting Nmap 6.47 ( http://nmap.org ) at 2016-02-03 18:14 GMT\
Nmap scan report for 0.0.0.0\
Host is up (0.00075s latency).\
Not shown: 970 closed ports\
PORT      STATE    SERVICE\
22/tcp    open     ssh\
80/tcp    open     http\
83/tcp    filtered mit-ml-dev\
88/tcp    open     kerberos-sec\
139/tcp   open     netbios-ssn\
280/tcp   filtered http-mgmt\
445/tcp   open     microsoft-ds\
631/tcp   open     ipp\
1045/tcp  filtered fpitp\
1072/tcp  filtered cardax\
1081/tcp  filtered pvuniwien\
1175/tcp  filtered dossier\
1187/tcp  filtered alias\
1594/tcp  filtered sixtrak\
1658/tcp  filtered sixnetudr\
1755/tcp  filtered wms\
2222/tcp  filtered EtherNet/IP-1\
2381/tcp  filtered compaq-https\
2393/tcp  filtered ms-olap1\
3527/tcp  filtered beserver-msg-q\
3737/tcp  filtered xpanel\
4003/tcp  filtered pxc-splr-ft\
5102/tcp  filtered admeng\
5678/tcp  filtered rrac\
5900/tcp  open     vnc\
6025/tcp  filtered x11\
6646/tcp  filtered unknown\
9001/tcp  filtered tor-orport\
9666/tcp  filtered unknown\
55600/tcp filtered unknown\
\
Nmap done: 1 IP address (1 host up) scanned in 6.46 seconds\

Repetí un escaneo para cada máquina en la LAN y no encontré nada, netcat ya no estaba disponible. No pude encontrar estos puertos por ningún lado. Desde entonces, los mismos resultados de la exploración de Nmap han dejado de arrojar estos resultados.

Me preocupa que pueda estar pasando algo nefasto ... ¿podría alguien ofrecer una explicación alternativa de este comportamiento? No estoy bien versado en Nmap.

    
pregunta xeuari 04.02.2016 - 16:24
fuente

2 respuestas

1

0.0.0.0 es su máquina que tiene muchos servicios a veces no visibles por otras máquinas. Intente escanear su máquina desde otra máquina y todo puede ser más claro.

Ejecute netstat -plnt en su máquina y encontrará qué procesados se están ejecutando en estos puertos.

    
respondido por el rom3ocrash 07.03.2018 - 19:47
fuente
-1

En su caso, este escaneo de nmap está escaneando su propio host local, que es 127.0.0.1. Debido a esto, todos los puertos que están abiertos se muestran en el escaneo.

Esto puede suceder cuando el dispositivo que ha escaneado probablemente haya instalado Honeypot en él.

Honeypot es un software informático que está configurado para actuar como un señuelo para atraer a los ataques cibernéticos. Se utiliza para detectar y para estudiar la naturaleza y el intento del pirata informático de acceder a la información. La activación de honeypots muestra una gran cantidad de puertos que se abren cuando se analizan de forma remota, lo que a su vez confunde a los atacantes. En general, se trata de una computadora, aplicaciones y datos que simulan el comportamiento de un sistema real que parece ser parte de una red pero en realidad es Aislado y monitoreado de cerca.

Aquí hay otro ejemplo de servidor instalado de honeypot:

Puedesaprendermássobrehoneypotaquí: enlace

    
respondido por el Prabesh Thapa 23.08.2016 - 18:18
fuente

Lea otras preguntas en las etiquetas

Cómo confiar en la CA raíz IPSec Host-to-Host VPN (RedHat) necesita reenvío de IP?