Nmap che mostra la porta DNS del router degli ISP oltre alle porte del target

Naviga le tue risposte
3

Ogni volta che eseguo scansioni nmap, sembra che le informazioni relative alla porta 53 siano modificate dal mio router ISP come segue: 

$ nmap -T4 -A -v stackoverflow.com

PORT     STATE SERVICE  VERSION
53/tcp   open  domain   MikroTik RouterOS named or OpenDNS Updater
.... // Ports related to the actual stackoverflow.com scan: 21, 22, 25, 80...

Questo accade per ogni IP o nome host di destinazione : scanme.nmap.org, google.org, ecc.

Tuttavia, se eseguo una scansione utilizzando uno scanner online come link , mostra i dettagli esatti e non mostra questo servizio 53 . 

Starting Nmap 6.46 ( http://nmap.org ) at 2015-12-26 22:11 CST
Nmap scan report for stackoverflow.com (104.16.37.249)
Host is up (0.00093s latency).
Other addresses for stackoverflow.com (not scanned): 104.16.35.249 104.16.34.249 104.16.33.249 104.16.36.249
PORT     STATE    SERVICE       VERSION
21/tcp   filtered ftp
22/tcp   filtered ssh
25/tcp   filtered smtp
80/tcp   open     http          cloudflare-nginx
443/tcp  open     ssl/https     cloudflare-nginx
3389/tcp filtered ms-wbt-server

Come evito questo.

Importante: Off topic ma la mia rete potrebbe trovarsi in un attacco MITM. Potrebbe un MITM causare questo?

    
posta user1156544 27.12.2015 - 05:16
fonte

3 risposte

2

Sembra che il firewall del tuo router abbia dirottato le tue richieste DNS. Ho trovato queste istruzioni sulla pagina wiki del tuo router che descrive esattamente come farlo:

Force users to use specified DNS server

This is just simple firewall rule which will force all Your users behind RB to use DNS server which You will define.

In /ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53

add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53

This rule will force all users with custom defined DNS server to use 192.168.88.1 as their DNS server, this rule will simply redirect all request sent to ANY-IP:53 to 192.168.88.1:53

Se riesci ad accedere al tuo router, potresti essere in grado di annullare personalmente il danno. In caso contrario, il tuo ISP dovrebbe apportare la modifica. Le altre opzioni saranno complesse, come la configurazione di una VPN.

Tieni presente che il tuo Paese potrebbe avere delle leggi in materia di DNS che potrebbero aver costretto il tuo ISP a fornire solo risoluzioni dei nomi DNS approvate dal governo. Ad esempio, la Turchia ha richiesto la rimozione dei server di Twitter dal DNS a causa di tutti i tweet pubblici che criticano il loro gabinetto corrotto. Non ti consiglierei di tentare di aggirare questa restrizione se significa andare in prigione.

    
risposta data 27.12.2015 - 16:02
fonte
1

I risultati della tua scansione per scanme.nmap.org sono corretti e sono gli stessi risultati del mio e quelli ottenuti dal link URL che hai fornito. La tua Nmap funziona correttamente.
Inoltre, potrebbe non essere una buona idea scansionare domini che non hai l'autorizzazione a farlo, quindi non posso aiutarti con la scansione di stackoverflow.com.
scanme .nmap.org è ok per eseguire la scansione poiché questo è stato fornito dal creatore di Nmap per i test.
Inoltre, prova a specificare i server DNS personalizzati tramite l'opzione --dns-servers . Nmap --help per ulteriori informazioni sull'utilizzo.

    
risposta data 27.12.2015 - 05:33
fonte
1

Mi sembra che l'ISP (o la rete MitM) stia reindirizzando tutte le richieste della porta 53 (DNS) al proprio servizio DNS. Questo potrebbe essere un modo per impedire agli utenti di utilizzare altri server DNS. La mia ipotesi è che ciò possa contribuire a rafforzare la restrizione dei domini (bloccando l'accesso a determinati siti Web in base al nome del dominio anziché all'indirizzo IP). Questo potrebbe anche essere parte di un attacco MitM molto elaborato come hai suggerito. Per scoprirlo di sicuro, ti consiglio di contattare il tuo ISP.

Se questa è una parte di un attacco MitM, questo attacco farebbe uso dell'avvelenamento della cache DNS risolvendo i domini legittimi sull'indirizzo IP di un utente malintenzionato e potrebbe farlo senza modificare l'indirizzo IP effettivo del DNS server pubblicizzato dal router o dall'ISP.

    
risposta data 27.12.2015 - 07:31
fonte

Leggi altre domande sui tag

La sincronizzazione di Chrome può essere infetta? Usando il secondo nome invece del primo nome per OpenPGP?