Risultati diversi con NMAP: filtrato + tcpwrapped

1

Quale potrebbe essere il motivo per cui NMAP sta dando un risultato diverso durante la scansione:

  1. domini in blocco?
  2. rilevamento servizi abilitato?

Prima domanda

Quando esegui la scansione di massa, di cui fa parte il dominio X, questo è il risultato che ottengo:

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   filtered     smtp
80/tcp   open     http

Quando esegui la scansione dello stesso dominio X individualmente:

PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   open     smtp
80/tcp   open     http

Quindi perché mostra filtrato come stato durante la scansione di massa - e quando esegue la scansione individualmente, mostra lo stato come aperto ?

Seconda domanda:

Quando abilito il rilevamento del servizio (-sV), questo è ciò che ottengo individualmente della scansione del dominio X:

PORT     STATE    SERVICE      VERSION
21/tcp   open     tcpwrapped
22/tcp   open     tcpwrapped
25/tcp   open     smtp         Postfix smtpd
80/tcp   open     http         Apache httpd

Perché il servizio della porta 21 e 22 dello stesso dominio dall'improvviso ora tcpwrapped ?

Lo stesso comportamento si verifica quando si esegue di nuovo la scansione di massa, con rilevamento dei servizi.

Questo ha senso!

Qualcuno ha avuto un'idea di come posso eseguire la scansione di massa, senza ottenere un "tcpwrapped" o un "filtrato" come risultato?

Grazie!

    
posta Steven Tjong 17.07.2017 - 19:52
fonte

1 risposta

2

La tua scansione "di massa" di molti IP ha probabilmente attivato un firewall o IPS per far cadere le tue sonde anziché lasciarle passare. Il pattern di "tenta di connettersi a molti IP diversi sulla stessa porta" è facile da rilevare. Questa è probabilmente la causa dello stato della porta filtered . Rallenta la scansione fino a quando non superi la soglia che l'IPS considera "lotti".

Nella prima scansione, Nmap non ha provato a sondare i servizi, ma solo a determinare lo stato delle porte. Poiché non ha provato a sondare il servizio, elenca il nome del servizio comunemente usato per quel numero di porta, trovato cercandolo in il file nmap-services . Questa è la fonte delle etichette "ftp" e "ssh".

Nella seconda scansione, l'opzione -sV indica a Nmap di andare avanti e tenta di ottenere una risposta dal servizio per classificarla. È possibile che qualcuno stia utilizzando la porta 21 per eseguire un server Web e non un server FTP. Quando ha provato a farlo, l'obiettivo ha immediatamente chiuso la connessione. Questo comportamento è comunemente la prova di un programma chiamato Wrapper TCP , che blocca connessioni come questa se l'IP remoto (il tuo) è non su una lista approvata. Altri dispositivi di rete potrebbero causare risultati simili, ma la stringa tcpwrapped verrà comunque mostrata. Nmap non usa più "ftp" o "ssh" per queste porte perché un semplice server FTP o SSH non si comporterebbe in questo modo.

Raccomando di rallentare un po 'la scansione per cercare di evitare il rilevamento e aggiungere le opzioni -v --reason per vedere il motivo e il valore del campo TTL ricevuto per ciascuna porta. Confrontandoli puoi dare un'idea di dove proviene la risposta (o nessuna risposta) - l'obiettivo o qualcosa tra te e il bersaglio.

    
risposta data 18.07.2017 - 15:57
fonte

Leggi altre domande sui tag