elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Redes
| | |-+  Ping dice "no" y Nmap dice "Si"
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ping dice "no" y Nmap dice "Si"  (Leído 2,718 veces)
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Ping dice "no" y Nmap dice "Si"
« en: 21 Julio 2012, 19:42 pm »

Buenas, Estoy viendo un comportamiento un poco "raro" al intentar realizar un escaneo a un máquina en un segmento de red al que tengo acceso, pues lo que ocurre, es que cuando ejecuto un "ping" para ver si tengo conectividad, el destino es "inalcanzable" sin embargo, cuando realizo un escaneo TCP o SYN con NMAP, no hay ningún problema y me identifica los puertos y servicios que corren en dicha máquina... Al principio pensé que era posible que la máquina remota estuviera bloqueando los "ping" desde mi máquina, sin embargo cuando realizo un escaneo de "sondeo ping" con NMAP (modo sP) no hay ningún tipo de problema y reconoce que la máquina esta levantada...
Alguno ha visto algo parecido y sabe porque puede ser?


En línea

m0rf


Desconectado Desconectado

Mensajes: 828


BACK!


Ver Perfil
Re: Ping dice "no" y Nmap dice "Si"
« Respuesta #1 en: 21 Julio 2012, 20:10 pm »

Citar
La opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR) a no ser que se especifique la opción --send-ip.

La opción -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones -P*, excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas.

Buenas adastra.

Pues he estado mirando y no se si este paquete al puerto 80 por omisión puede interferir. Si estas en red local puede deberse a que realiza un ARP scanning.

Estas enviando los ping's con dirección de broadcast?

Comentame si lo solucionas, que sino me pongo con el wireshark a ver que pasa.

Saludos.


En línea

Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
Mobiplayer

Desconectado Desconectado

Mensajes: 70


Ver Perfil
Re: Ping dice "no" y Nmap dice "Si"
« Respuesta #2 en: 31 Julio 2012, 21:30 pm »

Efectivamente tiene toda la pinta de que ese SYN al 80/TCP recibe un ACK y, por tanto, da la máquina como levantada. Aún así, podría ser un falso positivo y me explico:

Si delante de la máquina hay un firewall que no permite los pings desde fuera y además actúa como SYN proxy, no puedes estar seguro de que haya una máquina ahí detrás; aunque sería lo normal ya que el firewall actuará como SYN proxy siempre y cuando tenga una regla que permita esas conexiones al 80/TCP.

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines