Ping dice "no" y Nmap dice "Si"

Iniciado por adastra, 21 Julio 2012, 19:42 PM

0 Miembros y 1 Visitante están viendo este tema.

adastra

Buenas, Estoy viendo un comportamiento un poco "raro" al intentar realizar un escaneo a un máquina en un segmento de red al que tengo acceso, pues lo que ocurre, es que cuando ejecuto un "ping" para ver si tengo conectividad, el destino es "inalcanzable" sin embargo, cuando realizo un escaneo TCP o SYN con NMAP, no hay ningún problema y me identifica los puertos y servicios que corren en dicha máquina... Al principio pensé que era posible que la máquina remota estuviera bloqueando los "ping" desde mi máquina, sin embargo cuando realizo un escaneo de "sondeo ping" con NMAP (modo sP) no hay ningún tipo de problema y reconoce que la máquina esta levantada...
Alguno ha visto algo parecido y sabe porque puede ser?

m0rf

CitarLa opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR) a no ser que se especifique la opción --send-ip.

La opción -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones -P*, excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas.

Buenas adastra.

Pues he estado mirando y no se si este paquete al puerto 80 por omisión puede interferir. Si estas en red local puede deberse a que realiza un ARP scanning.

Estas enviando los ping's con dirección de broadcast?

Comentame si lo solucionas, que sino me pongo con el wireshark a ver que pasa.

Saludos.
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?

Mobiplayer

Efectivamente tiene toda la pinta de que ese SYN al 80/TCP recibe un ACK y, por tanto, da la máquina como levantada. Aún así, podría ser un falso positivo y me explico:

Si delante de la máquina hay un firewall que no permite los pings desde fuera y además actúa como SYN proxy, no puedes estar seguro de que haya una máquina ahí detrás; aunque sería lo normal ya que el firewall actuará como SYN proxy siempre y cuando tenga una regla que permita esas conexiones al 80/TCP.

Saludos