[HACK] Comportamiento extraño en nmap...

mAnu mcardenas at ipsistemas.com
Mon Nov 19 17:54:07 CET 2001 

	Buenas...

	A ver si alguien me podria explicar este extraño comportamiento de
nmap, aunque yo creo que puede ser por la version de kernel de kernel o
parametros del mismo de la maquina escaneada...

	La maquina es una Red Hat 7.0 con kernel de fabrica ;), aqui os
pongo el /etc/issue de la maquina escaneada:

Red Hat Linux release 7.0 (Guinness)
Kernel 2.2.16-22smp on a 2-processor i686

	He probado con un par de maquinas mas y no sucede nada de esto,
pero otras veces me habia topado con comportamientos del estilo pero nunca
me dio por ver que era realemente lo que pasaba.

	He probado con esta otra maquina y los resultados son totalmente
normales: (/etc/issue)

Red Hat Linux release 6.2 (Zoot)
Kernel 2.2.14-5.0smp on a 2-processor i686

	Supongo que no es problema de nmap, y si lo fuera pues seria en
determinadas circunstancias... pero creo que puede ser por parametros del
kernel...

	Sigo investigando, pondre un tcpdump a ver realmente que sucede en
ambas maquinas (escaneadora y escaneada :)), ya comentare resultados. Pero
si alguien sabe ya la solucion me ahorro perder el tiempo :).

	Un saludo y gracias...

P.D. El puerto 514 SI esta abierto realmente, el resto no lo esta. Si os
fijais, si pones un rango pequeño de puertos a escanear todos los detecta
abiertos, si el rango aumenta solo detecta el puerto abierto (lo correcto
vaya...).

Dato curioso: Si el rango de puertos a escanear es menor o igual a 10,
todos daran que estan abiertos, si es mayor a diez, el funcionamiento es
normal y solo salen abiertos los puertos que realmente lo estan...

Probare con otro escaner que no sea nmap y a ver si asi determino donde
esta el problema realmente....

root at raichu:root# nmap -sU -n -p514 scanned.host

Port       State       Service
514/udp    open        syslog

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
root at raichu:root# nmap -sU -n -p510-515 scanned.host

Port       State       Service
510/udp    open        fcp
511/udp    open        passgo
512/udp    open        biff
513/udp    open        who
514/udp    open        syslog
515/udp    open        printer

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
root at raichu:root# nmap -sU -n -p505-520 scanned.host

(The 15 ports scanned but not shown below are in state: closed)
Port       State       Service
514/udp    open        syslog

Nmap run completed -- 1 IP address (1 host up) scanned in 18 seconds

--

Manuel Cardeñas - aka... mAnu
mcardenas at ipsistemas.com
IP Sistemas.

--

"There are two major products that come out of Berkeley: LSD and UNIX.
 We don't believe this to be a coincidence." -- Jeremy Anderson

More information about the hacking mailing list