|
Título: Ping dice "no" y Nmap dice "Si" Publicado por: adastra en 21 Julio 2012, 19:42 pm Buenas, Estoy viendo un comportamiento un poco "raro" al intentar realizar un escaneo a un máquina en un segmento de red al que tengo acceso, pues lo que ocurre, es que cuando ejecuto un "ping" para ver si tengo conectividad, el destino es "inalcanzable" sin embargo, cuando realizo un escaneo TCP o SYN con NMAP, no hay ningún problema y me identifica los puertos y servicios que corren en dicha máquina... Al principio pensé que era posible que la máquina remota estuviera bloqueando los "ping" desde mi máquina, sin embargo cuando realizo un escaneo de "sondeo ping" con NMAP (modo sP) no hay ningún tipo de problema y reconoce que la máquina esta levantada...
Alguno ha visto algo parecido y sabe porque puede ser? Título: Re: Ping dice "no" y Nmap dice "Si" Publicado por: m0rf en 21 Julio 2012, 20:10 pm Citar La opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR) a no ser que se especifique la opción --send-ip. La opción -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones -P*, excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas. Buenas adastra. Pues he estado mirando y no se si este paquete al puerto 80 por omisión puede interferir. Si estas en red local puede deberse a que realiza un ARP scanning. Estas enviando los ping's con dirección de broadcast? Comentame si lo solucionas, que sino me pongo con el wireshark a ver que pasa. Saludos. Título: Re: Ping dice "no" y Nmap dice "Si" Publicado por: Mobiplayer en 31 Julio 2012, 21:30 pm Efectivamente tiene toda la pinta de que ese SYN al 80/TCP recibe un ACK y, por tanto, da la máquina como levantada. Aún así, podría ser un falso positivo y me explico:
Si delante de la máquina hay un firewall que no permite los pings desde fuera y además actúa como SYN proxy, no puedes estar seguro de que haya una máquina ahí detrás; aunque sería lo normal ya que el firewall actuará como SYN proxy siempre y cuando tenga una regla que permita esas conexiones al 80/TCP. Saludos |