[HACK] Re: [HackIndex] Comportamiento extraño en nmap...

mAnu mcardenas at ipsistemas.com
Wed Nov 21 10:59:16 CET 2001 

	Acabo de hacer un nuevo descubrimiento, que paso a detallaros...

	Como vereis en la secuencia de comandos siguiente, tanto nmap como
skin (el otro scanner analizado), se comportan "de modo rarito" :) en los
scaneos UDP. Conociendo que el unico puerto UDP abierto en
"scanned.host" (maquina escaneada) es el 514, dichos scanners se comportan
bien cuando se usa la opcion -P0 (es decir, no "pingar" al host antes de
realizar el scanner).

	Puede que el nmap, se haga un pequeño lio porque recibe ICMP's a
cada puerto cerrado del "scanned.host". Entonces al usar -P0 como no manda
"ICMP echo" para probar si la maquina esta arriba, pues no hara caso a los
ICMP's devueltos.

iplog[253]: ICMP: scanned.host: port is unreachable to (udp: dest port
517, source port 60902)

	Lo que sigo sin entender es...

	¿porque cuando no uso -P0 solamente falla cuando el rango de
puertos escaneados es menor o igual a 10?

	¿porque concretamente con esta maquina? (ambas maquians devuelven
el ICMP "port is unreachable to" a cada puerto cerrado, usen o no el -P0)
	
	Red Hat Linux release 7.0 (Guinness)
	Kernel 2.2.16-22smp on a 2-processor i686

root at raichu:root# nmap -sU -P0 -p513-515 scanned.host

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
(The 2 ports scanned but not shown below are in state: closed)
Port       State       Service
514/udp    open        syslog


Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
root at raichu:root# nmap -sU -p513-515 scanned.host

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Port       State       Service
513/udp    open        who
514/udp    open        syslog
515/udp    open        printer


Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds
root at raichu:root# skin -sU -P0 -p513-515 scanned.host

Port        State      Service
-------------------------------------------------------------------------------
514/udp     open       syslog

root at raichu:root# skin -sU -p513-515 scaneed.host

Port        State      Service
-------------------------------------------------------------------------------
513/udp     open       who
514/udp     open       syslog
515/udp     open       unknown

root at raichu:root#

--

Manuel Cardeñas - aka... mAnu
mcardenas at ipsistemas.com
IP Sistemas.

--

"There are two major products that come out of Berkeley: LSD and UNIX.
 We don't believe this to be a coincidence." -- Jeremy Anderson

More information about the hacking mailing list