Nmap - Risposta porta incoerente

Naviga le tue risposte
0

Quali potrebbero essere le possibili ragioni per scansionare una porta e ottenere una risposta aperta (syn-ack) e quindi ottenere una risposta chiusa (prima) entro un breve intervallo di tempo. 

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:01 AST
Nmap scan report for 10.0.2.13
Host is up, received reset ttl 127 (0.14s latency).
PORT   STATE SERVICE REASON
80/tcp open  http    syn-ack ttl 127

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2018-03-24 21:06 AST 
Nmap scan report for 10.0.2.13 
Host is up, received reset ttl 127 (0.14s latency). 
PORT   STATE  SERVICE REASON
80/tcp closed http    reset ttl 127

Penso di aver eliminato la possibilità di un firewall perché non ho ricevuto alcuna risposta per un pacchetto --badsum

    
posta aat700 25.03.2018 - 16:58
fonte

2 risposte

0

Se crei un tcpdump di una sessione di nmap, vedrai che nmap invia molti pacchetti, questo patter è molto facile da rilevare e probabilmente la tua sessione è stata rilevata e quindi bloccata automaticamente. Le scansioni delle porte sono facilmente rilevabili da firewall o altri sistemi, questa è la mia ipotesi.

    
risposta data 25.03.2018 - 22:38
fonte
0

È possibile che questo sia il risultato di un IP virtuale. Se ci sono più host collegati a un indirizzo IP, come se fossero dietro un load balancer, è possibile trascinare un host su una chiamata e l'altro sulla successiva, e probabilmente uno sta avendo un problema con il proprio webserver. Ecco alcune opzioni per la risoluzione dei problemi:

Telnet alla porta e vedere se fallisce a intermittenza o se funziona ogni volta. 

telnet 10.0.2.13 80

Puoi anche eseguire nmap in modalità di debug e provare ad avere una visione migliore di ciò che sta succedendo. 

nmap -d3 -p80 10.0.2.13

e puoi effettuare il reverse DNS per vedere se ha un nome simile a VIP: 

dig -x 10.0.2.13

È anche possibile che sia un limite di velocità. Debug NMAP dovrebbe rilevarlo, ma un raschiamento di wireshark potrebbe essere più utile per vedere eventuali risposte respinte al tuo client.

    
risposta data 24.07.2018 - 02:10
fonte

Leggi altre domande sui tag

Dal punto di vista della sicurezza, c'è qualcosa di sbagliato nell'eseguire comandi di mastice ripetitivi dalla riga di comando? Il contenuto gzipping è consentito tramite TLS?