nmap con sW dà solo il numero di porte aperte ma nmap con -sW plus -sV fornisce risultati diversi che dicono open e tcpwrappeds

Question

nmap con sW dà solo il numero di porte aperte ma nmap con -sW plus -sV fornisce risultati diversi che dicono open e tcpwrappeds

#1 da (1 voti)

0

Ho eseguito nmap su un IP che è il seguente

nmap -sW -PN <IP> 
result Host is up (0.0011s latency).
PORT      STATE SERVICE
1/tcp     open  tcpmux
3/tcp     open  compressnet
4/tcp     open  unknown
6/tcp     open  unknown
7/tcp     open  echo
9/tcp     open  discard
13/tcp    open  daytime
17/tcp    open  qotd
19/tcp    open  chargen
20/tcp    open  ftp-data
21/tcp    open  ftp
22/tcp    open  ssh
23/tcp    open  telnet
24/tcp    open  priv-mail
25/tcp    open  smtp
26/tcp    open  rsftp
30/tcp    open  unknown
32/tcp    open  unknown
33/tcp    open  dsp
37/tcp    open  time
42/tcp    open  nameserver
43/tcp    open  whois
49/tcp    open  tacacs
53/tcp    open  domain
70/tcp    open  gopher

ma quando eseguo nmap con

nmap -sW -PN -sV <ip>
PORT      STATE SERVICE    VERSION
1/tcp     open  tcpwrapped
3/tcp     open  tcpwrapped
4/tcp     open  tcpwrapped
6/tcp     open  tcpwrapped
7/tcp     open  tcpwrapped
9/tcp     open  tcpwrapped
13/tcp    open  tcpwrapped
17/tcp    open  tcpwrapped
19/tcp    open  tcpwrapped
20/tcp    open  tcpwrapped
21/tcp    open  tcpwrapped
22/tcp    open  tcpwrapped
23/tcp    open  tcpwrapped
24/tcp    open  tcpwrapped
25/tcp    open  tcpwrapped
26/tcp    open  tcpwrapped
30/tcp    open  tcpwrapped
32/tcp    open  tcpwrapped
33/tcp    open  tcpwrapped

Ottengo il risultato sopra. In un link ho letto che "Quando un numero molto elevato di porte viene mostrato come tcpwrapped, è improbabile che rappresentino servizi reali, quindi il comportamento probabilmente significa qualcos'altro come un bilanciamento del carico o un firewall sta intercettando le richieste di connessione. "Quindi cosa dovrei dedurre dai 2 risultati precedenti. Le porte sono aperte sull'host O il firewall / loadbalancer sta intercettando il traffico?

nmap network-scanners

posta Lalitha 16.08.2016 - 12:52

fonte

1 risposta

Leggi altre domande sui tag nmap network-scanners

PKI, certificati Quali sono alcuni modi in cui un utente malintenzionato potrebbe utilizzare una risposta http 301 o 404?

score 1 · Answer 1

Nmap senza -sV (o altre opzioni che includono il rilevamento di servizio / versione) non fa alcuno sforzo per determinare quale tipo di servizio è effettivamente in esecuzione su una porta. Al contrario, esegue semplicemente una ricerca rispetto a un elenco di assegnazioni di porta / servizio comuni al fine di presentare un candidato più probabile per il tipo di servizio che verrebbe eseguito sulle porte incluse nel rapporto.

Questo è ciò che stai vedendo con nmap -sW (ai fini di questa discussione, -PN è irrilevante). Nmap ti fornisce un elenco di tutte le porte che la scansione di Windows pensa siano aperte e ti dice quale tipo di servizi comunemente vengono ascoltati su ciascuna porta.

Tuttavia, dovresti sapere che nmap -sW può essere inaffidabile con le destinazioni che non supportano la funzionalità che è stata progettata per sfruttare. (E gli obiettivi che supportano tale funzionalità sono generalmente rari.) Questo è menzionato nelle Tecniche di scansione delle porte Nmap documentazione, e sembra essere esemplificato dai risultati. (Almeno, le piccole porzioni che hai incollato sopra - presumo che siano troncate.)

Il seguente è copiato dalla documentazione di Nmap cui ho fatto riferimento sopra. L'enfasi è mia.

-sW (TCP Window scan)
[...]
This scan relies on an implementation detail of a minority of systems out on the Internet, so you can't always trust it. Systems that don't support it will usually return all ports closed. Of course, it is possible that the machine really has no open ports. If most scanned ports are closed but a few common port numbers (such as 22, 25, 53) are filtered, the system is most likely susceptible. Occasionally, systems will even show the exact opposite behavior. If your scan shows 1,000 open ports and three closed or filtered ports, then those three may very well be the truly open ones.

Con servizio e amp; Rilevamento versione abilitato (ad esempio nmap -sW -sV nei tuoi esempi), Nmap esegue alcuni controlli aggiuntivi per essere più sicuro degli stati di risposta delle porte e per determinare il tipo e la versione dell'applicazione ospitata sulle porte aperte. Questi controlli extra sono ciò che consente a Nmap di fornire la determinazione "tcpwrapped", invece di assumere che una porta di risposta stia eseguendo il servizio che di solito è impostato su tale numero.

Se ci sono delle porte mostrate oltre l'output che hai incollato sopra, che non riportano "tcpwrapped" nella tua scansione nmap -sW -sV , è probabile che quelle siano le uniche porte che valga la pena investigare ulteriormente sulla destinazione. Tuttavia, per risultati più accurati, dovresti utilizzare una tecnica di scansione delle porte diversa.