nmap scan interpretazione output

5 risposte [Ultimo contenuto]
Ritratto di frank67
frank67
(Monster)
Offline
Monster
Iscritto: 10/07/2013
Messaggi: 487

Stavo leggendo la manual page di nmap (forse non così attentamente) e ho voluto provare a lanciare alcuni scan tests tra i quali questo:

~# nmap -sO -p0-255 192.168.0.3
 
Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-17 17:39 CEST
Nmap scan report for myhost (192.168.0.3)
Host is up (0.000011s latency).
Not shown: 250 closed protocols
PROTOCOL STATE         SERVICE
1        open          icmp
2        open|filtered igmp
6        open          tcp
17       open          udp
136      open|filtered udplite
255      open|filtered unknown
 
Nmap done: 1 IP address (1 host up) scanned in 1.27 seconds

Così ho pensato di avere dei daemon in ascolto su qualche porta per i protocolli elencati. Allora ho provato:

~# nmap -sS -sU -sZ -p0-65535 192.168.0.3
 
Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-17 17:50 CEST
Nmap scan report for myhost (192.168.0.3)
Host is up (0.000012s latency).
All 196608 scanned ports on myhost (192.168.0.3) are closed (131072) or filtered (65536)
 
Nmap done: 1 IP address (1 host up) scanned in 14.31 seconds
~#

che mi conferma di non avere daemon attivi sull'host. Qualcuno può, per cortesia, spiegarmi come devo interpretare l'output del primo comando?
Grazie per ogni risposta.

Ciao, Franco

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Il primo scan dice che il tuo host riconosce i protocolli ICMP, TCP e UDP, non risponde ai protocolli 2, 136 e 255 (non ho idea di chi li usi) e risponde con "protocol unreachable" a tutti gli altri.

Il secondo dice che non ci sono demoni in ascolto su nessuna porta UDP (ma mi sfugge cosa fa l'opzione -sZ).

Ritratto di frank67
frank67
(Monster)
Offline
Monster
Iscritto: 10/07/2013
Messaggi: 487

mcortese ha scritto:

(non ho idea di chi li usi)

già! Confused lo stack IP del kernel?

mcortese ha scritto:

Il secondo dice che non ci sono demoni in ascolto su nessuna porta UDP (ma mi sfugge cosa fa l'opzione -sZ).

Con l'opzione -sS dovrebbe ricercare anche le TCP non solo le UDP. L'opzione -sZ (SCTP COOKIE ECHO scan) dovrebbe essere migliore della -sY per scansionare porte del protocollo SCTP. IMHO.

Ciao, Franco

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

frank67 ha scritto:

mcortese ha scritto:

(non ho idea di chi li usi)


già! Confused lo stack IP del kernel?


I protocolli 2 (IGMP) e 136 (UDPLite) dovrebbero appartenere alla sfera dello streaming. Come ho detto, non so quali applicazioni/piattaforme li usino. Il protocollo 255 invece non so proprio cosa sia.

frank67 ha scritto:

Con l'opzione -sS dovrebbe ricercare anche le TCP non solo le UDP. L'opzione -sZ (SCTP COOKIE ECHO scan) dovrebbe essere migliore della -sY per scansionare porte del protocollo SCTP. IMHO.


Ok, non avevo capito che specificando insieme -sS -sU -sZ si attivano i tre scan insieme.

Un dubbio: ma usare il protocollo SCTP (-sZ) ha senso, visto che dal precedente scan abbiamo appreso che il tuo host non risponde a questo protocollo?

Ritratto di frank67
frank67
(Monster)
Offline
Monster
Iscritto: 10/07/2013
Messaggi: 487

Stavo provando e -sZ è rimasta nelle opzioni di scan anche se non in relazione con l'output del primo nmap scan non ho pensato di toglierla non ti so dire quanto sia opportuna o meno (non avevo daemon in ascolto su TCP né UDP) sopratutto alla luce del nuovo scan test che ho provato.
Sono uscito dall'ambiente grafico e dato un telinit 1 questo è il risultato:

~# pstree -hpan
init,1
  `-init,18015
      `-bash,18016
          `-pstree,18018 -hpan
~# nmap -sO -p0-255 192.168.0.3
 
Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-22 15:55 CEST
Nmap scan report for myhost (192.168.0.3)
Host is up (0.000016s latency).
Not shown: 250 closed protocols
PROTOCOL STATE         SERVICE
1        open          icmp
2        open|filtered igmp
6        open          tcp
17       open          udp
136      open|filtered udplite
255      open|filtered unknown
 
Nmap done: 1 IP address (1 host up) scanned in 1.28 seconds
~#

Eliminati i processi/daemon attivi penso che l'unico "colpevole" rimasto sia il kernel ma in pratica non so cosa nmap intenda per open protocol/service?

P.S.
neanche nmap sa cosa sia il protocollo 255 Smile

Ciao, Franco

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

Scusa, ma "colpevole" di cosa? Quello che hai fatto non è un port scan, non ti dice le porte aperte. Hai chiesto a nmap di capire quali protocolli di rete il tuo target riconosce e la risposta è stata che ICMP, TCP e UDP sono supportati, tutti gli altri non sono gestiti, con l'eccezione di quei tre lì a cui non ha ricevuto risposta alcuna e quindi non sa dire se siano stati filtrati (drop) da un firewall, se il kernel li ignora silenziosamente, o cos'altro.

Lo scan delle porte vero e proprio è quello che fai con -sS per saggiare le porte con TCP, con -sU per quelle UDP o con il meno comune -sY/-sZ per usare un protocollo poco conosciuto che parrebbe avere molti vantaggi (uso il condizionale perché l'ho incontrato in questa discussione per la prima volta e non lo conosco affatto) se solo il tuo target lo gestisse!