nmap segnala un host remoto come su, mentre è giù? [chiuso]

1

Voglio esaminare da remoto se alcuni server sono attivi.

Non uso il comando ping perché dà un sacco di risultati errati come "host di destinazione irraggiungibile" e "richiesta scaduta" a causa di una cattiva infrastruttura di rete.

Cerco di usare il comando nmap per esaminare i server tramite porte aperte. Nmap mi fornisce le porte reali aperte, ma quando spengo il server, nmap continua a farlo funzionare.

Il client accede a Internet tramite un modem USB e l'host di destinazione che esaminiamo è connesso a Internet tramite un punto di accesso TP-Link con modem USB e IP statico.

Quando spengo completamente il punto di accesso ed eseguo questo comando:

nmap -p 80 -vv 105.198.224.47

Starting Nmap 7.01 ( https://nmap.org ) at 2017-01-31 11:54 EET

Initiating Ping Scan at 11:54

Scanning 105.198.224.47 [2 ports]

Completed Ping Scan at 11:54, 0.61s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 11:54

Completed Parallel DNS resolution of 1 host. at 11:54, 0.01s elapsed

Initiating Connect Scan at 11:54

Scanning 105.198.224.47 [1 port]

Discovered open port 80/tcp on 105.198.224.47

Completed Connect Scan at 11:54, 0.09s elapsed (1 total ports)

Nmap scan report for 105.198.224.47

Host is up, received syn-ack (0.55s latency).

Scanned at 2017-01-31 11:54:17 EET for 0s

PORT   STATE SERVICE REASON

80/tcp open  http    syn-ack


Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.78 seconds

E quando inserisci l'ip in un browser, restituisce:

"Impossibile raggiungere questo sito"

"La connessione è stata ripristinata."

Questo accade in entrambe le situazioni quando è acceso e spento.

traceroute quando il punto di accesso è attivato dà:

traceroute to 105.198.224.47 (105.198.224.47), 30 hops max, 60 byte packets

 1  192.168.9.1 (192.168.9.1)  1.667 ms  1.768 ms  2.508 ms

 2  * * *

 3  10.255.224.106 (10.255.224.106)  759.425 ms  769.911 ms  770.401 ms

 4  10.255.224.114 (10.255.224.114)  770.142 ms  770.508 ms  770.871 ms

 5  10.255.224.124 (10.255.224.124)  771.866 ms  771.859 ms  779.227 ms

 6  105.199.1.3 (105.199.1.3)  780.458 ms  792.637 ms  792.453 ms

 7  163.121.143.88 (163.121.143.88)  803.571 ms  51.573 ms  41.250 ms

 8  163.121.143.75 (163.121.143.75)  49.261 ms  49.264 ms  49.384 ms

 9  * * *

10  * * *

11  * * *

12  * * *

13  * * *

14  * * *

15  * * *

16  * * *

17  * * *

18  * * *

19  * * *

20  * * *

21  * * *

22  * * *

23  * * *

24  * * *

25  * * *

26  * * *

27  * * *

28  * * *

29  * * *

30  * * *

eseguire traceroute quando il punto di accesso disattivato dà lo stesso risultato ma le modifiche solo in valori di milli secondi ms.

Quindi, qual è la spiegazione di questo comportamento?

    
posta saber 30.01.2017 - 22:23
fonte

2 risposte

1

Che cosa hai, in termini di rete, tra te e i tuoi server?

Qualsiasi elemento attivo (router, firewall, ecc.) può modificare il tuo traffico, quindi:

  1. il fatto che il ping non funzioni può non essere correlato allo stato del tuo server. Il traffico ICMP è spesso qualcosa di completamente filtrato
  2. il tuo caso nmap è estraneo, ma può essere comunque spiegato allo stesso modo, dipende anche se usi un nome o un IP

In entrambi i casi per monitorare realmente le cose dovresti usare un servizio che controlli sul server (come ssh, http o qualcosa di più specifico), connettersi ad esso e verificare che tu riceva quello che ti aspetti (un risultato specifico).

    
risposta data 30.01.2017 - 23:22
fonte
-2

Se le informazioni che hai fornito sono corrette, è possibile che tu sia stato vittima di un cosiddetto attacco "man-in-the-middle":

link

In computer security, a man-in-the-middle attack (often abbreviated mitm, or the same using all capital letters) is an attack where the attacker secretly relays and possibly alters the communication between two parties who believe they are directly communicating with each other. A man-in-the-middle attack can be used against many protocols. One example of man-in-the-middle attacks is active eavesdropping, in which the attacker makes independent connections with the victims and relays messages between them to make them believe they are talking directly to each other over a private connection, when in fact the entire conversation is controlled by the attacker.

Prendendo le informazioni fornite al valore nominale questa è una spiegazione plausibile. La migliore linea d'azione se credi che questo sia il caso sarebbe probabilmente provare a fare nmapping (o eseguire il ping) del computer tramite un proxy. Questo potrebbe risolvere il problema, a seconda dell'origine e della natura del MitM.

    
risposta data 30.01.2017 - 23:06
fonte

Leggi altre domande sui tag