La scansione Nmap produce tutto "sconosciuto"

6

Ho scansionato sia localhost che l'indirizzo IP dell'adattatore LAN, e questo è l'output prodotto.

Starting Nmap 5.51 ( http://nmap.org ) at 2012-10-12 18:06 Eastern Daylight Time
Skipping SYN Stealth Scan against localhost (127.0.0.1) because Windows does not support scanning your own machine (localhost) this way.
Nmap scan report for localhost (127.0.0.1)
Host is up.
PORT      STATE   SERVICE
1/tcp     unknown tcpmux
3/tcp     unknown compressnet
4/tcp     unknown unknown
6/tcp     unknown unknown
7/tcp     unknown echo
9/tcp     unknown discard
13/tcp    unknown daytime
17/tcp    unknown qotd
19/tcp    unknown chargen
20/tcp    unknown ftp-data
-------redacted-for-posting-purposes-------
60020/tcp unknown unknown
60443/tcp unknown unknown
61532/tcp unknown unknown
61900/tcp unknown unknown
62078/tcp unknown iphone-sync
63331/tcp unknown unknown
64623/tcp unknown unknown
64680/tcp unknown unknown
65000/tcp unknown unknown
65129/tcp unknown unknown
65389/tcp unknown unknown

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Sconosciuto per tutte le porte scansionate. Ho quindi proceduto alla scansione di "scanme.nmap.org" e ho ottenuto risultati regolari come previsto durante la scansione del servizio.

Qualche suggerimento?

    
posta Brendan Beals 13.10.2012 - 00:15
fonte

2 risposte

6

Il problema è con Windows e la scansione del computer locale. Nmap su Windows non funziona nello stesso modo in cui funziona su Linux a causa delle differenze nel modo in cui si accede alla scheda NIC. In realtà non si connette a ciascuna porta da un processo separato, ma si connette a se stesso. Questo è il motivo per cui la scansione comporta l'elencazione di tutte le porte e determina la mancata connessione a ciascuna porta.

Come test, scansiona le porte 8 e 18 (omesso nella scansione sopra). Supponendo che inizialmente hai fatto una scansione di default, quelle porte non sarebbero state testate. Se li collaudi in modo specifico, dovrebbero essere visualizzati anche come "sconosciuti".

    
risposta data 13.10.2012 - 01:23
fonte
1

Questo output è previsto durante la scansione da Windows a localhost (127.0.0.1, :: 1 o un indirizzo IP che appartiene al sistema di scansione stesso), ma solo per le versioni Nmap rilasciate prima di luglio 2016. Nmap 7.25BETA1 ha aggiunto la scansione di localhost di Windows con l'uso del nuovo Npcap libreria di acquisizione pacchetti , quindi questo non sarà più un problema.

Le ragioni tecniche per questo tornano a Windows XP. Nelle versioni di Windows precedenti a XP Service Pack 2, era possibile che i programmi usassero socket grezzi per inviare le sonde personalizzate Nmap utilizza per scansioni SYN e rilevamento del sistema operativo. Ma poi Steve Gibson di GRC.com ha scritto un articolo popolare affermando che i socket grezzi sarebbero stati usati per DDoS nell'intero Internet e che quindi dovrebbero essere rimossi. Questo naturalmente non era corretto , ma in XP SP2, Microsoft ha rimosso più forme di socket non elaborati .

In risposta a questo, Nmap si è spostato all'invio di frame Ethernet raw tramite WinPcap (ora Npcap), che ironicamente consente ancora lo stesso tipo di spoofing del traffico di cui Gibson era preoccupato. Non è perfetto, tuttavia: richiede che il driver del filtro pacchetti sia in esecuzione sull'interfaccia utilizzata per inviare il traffico e funziona solo sui tipi di collegamento che supportano / richiedono un'intestazione frame Ethernet: Ethernet, 802.11 WiFi, ecc. Altri tipi di collegamento che non funzionano includono tunnel PPP, VPN e, naturalmente, traffico di loopback. Il traffico di loopback non è supportato perché non aumenta sufficientemente nello stack di rete interno del sistema operativo per consentire l'intercettazione o l'iniezione da parte del driver NDIS di WinPcap. Npcap supera questo ostacolo creando una nuova interfaccia di loopback per forzare il traffico locale a passare attraverso lo stack completo in cui può essere osservato e modificato.

    
risposta data 29.04.2017 - 20:47
fonte

Leggi altre domande sui tag