Perché nmap non restituisce le informazioni sulla porta aperta quando frammento i pacchetti?

1

Sto eseguendo una scansione su un host remoto e giocando con il -f flag per nmap quando ho notato qualcosa che non mi aspettavo. Tra gli altri dati, quando digito nmap -v -O <hostname> ottengo un elenco di porte aperte e dettagli del sistema operativo:

PORT    STATE   SERVICE
22/tcp  closed  ssh
80/tcp  open    http
443/tcp open    https
Device type: general purpose
Running: QEMU
OS CPE: cpe:/a:qemu:qemu
OS details: QEMU user mode network gateway
TCP Sequence Prediction: Difficulty=17 (Good luck!)
IP ID Sequence Generation: Incremental

Tuttavia, quando eseguo la scansione allo stesso modo con nmap -v -f -O <hostname> , ottengo:

All 1000 scanned port on <host> <ip> are filtered
Too many fingerprints match this host to give specific OS details

Qualcuno può spiegare perché i pacchetti frammentati agiscono in modo diverso rispetto alle informazioni ricevute? È probabile che l'host remoto sia configurato per bloccare i pacchetti frammentati, forse?

    
posta Peter David Carter 10.07.2017 - 16:21
fonte

1 risposta

1

Trovato nella documentazione di nmap all'indirizzo: link

IP fragmentation is a complex system and implementations are riddled with bugs and inconsistencies. Possible tests could examine how overlapping fragments are assembled or time the defragmentation timeouts. These tests are avoided for Nmap because many firewalls and other inline devices defragment traffic at gateways. Thus Nmap may end up fingerprinting the firewall rather than the true destination host. In addition, fragments are difficult to send on some operating systems. Linux 2.6 kernels have a tendency to queue the fragments you are trying to send and assemble them itself before transmission.

Quindi sembra che il processo di frammentazione possa causare problemi con la ricerca. Gradirei comunque qualsiasi risposta che spieghi questo in modo più approfondito, tuttavia, se ciò rientra nell'ambito del sito.

    
risposta data 10.07.2017 - 17:12
fonte

Leggi altre domande sui tag