nmap crashing embedded-system in modo strano

Naviga le tue risposte
2

Sto cercando di scoprire quali comandi di nmap bloccano un sistema embedded. Nel processo posso vedere un comportamento che non capisco:

Sulla porta di sistema 80 è aperta e 79 è chiusa.

  1. nmap -p 79-80 -T5 -A - > il sistema si blocca
  2. nmap -p 80 -T5 -A - > nessun crash e risposta normale

Non importa quali porte chiuse aggiungo o rimuovi dall'intervallo attorno alla porta aperta 80. Non appena eseguo la scansione di una qualsiasi porta diversa da 80, il sistema si arresta in modo anomalo.

Sarei felice di sentire alcune idee sul perché questo potrebbe accadere o un modo per scoprirlo.

EDIT: Il motivo per questo sembra essere l'opzione di temporizzazione -T5.

nmap -p 79-80 -T5 -A - > 79 / tcp finger chiuso 80 / tcp open http? 81 / tcp chiuso

nmap -p 80 -T5 -A - > 80 / tcp filtered http

nmap -p 80 -A - > 80 / tcp open http? - > si blocca anche come previsto!

    
posta dontWorrySirImFromTheInternetz 08.10.2014 - 14:42
fonte

2 risposte

3

se non mi sbaglio, la mia teoria ... con -A nmap sta facendo anche sonde di rilevamento OS, uno dei modi in cui si identifica è attraverso la tempistica delle sonde inviate ad un open e una porta chiusa. tra una miriade di altre cose.

con una singola porta specificata, scommetterei che, sebbene in genere ciò venga eseguito, viene ignorato perché hai specificato solo una porta.

con qualsiasi intervallo di porte Id est 79-80, la funzione verrà utilizzata.

Questo è il motivo per cui probabilmente sembra correlato anche alla tempistica, perché nmap sceglie di fare il meglio con ciò che è stato dato in base alla richiesta, perché sicuramente non vorrebbe che dicesse "Ehi, dal momento che mi hai chiesto di identificare un sistema operativo , ma solo una porta, ne esaminerò un'altra arbitrariamente per onorare la richiesta "

link

    
risposta data 08.10.2014 - 20:09
fonte
1

Succederebbe perché le porte iniziale e finale potrebbero essere escluse da nmap. Si sta assegnando l'intervallo 79-80 in modo che quando esclude le porte di inizio e fine non vi sia alcuna porta da scansionare e viene esplicitamente menzionata l'opzione di porta, che causa l'arresto anomalo. Dai una prova a

nmap -p 79-81 -T5 -A

    
risposta data 08.10.2014 - 15:33
fonte

Leggi altre domande sui tag

Ho bisogno di aiuto per identificare la causa del traffico in uscita strano dalla mia rete In questo caso, il codice + codice di sicurezza è molto più sicuro di un codice più lungo?