9 ene 2013

Nmap tip --reason

Sabias que?
Como muchos no leen el manpage de Nmap, pongo un tip que me parece interesante.

En los scan, añadir el parametro --reason, con lo cual, nos dirá porque interpreta que un puerto esta cerrado, filtrado o abierto. Las respuestas tcp-reset, host prohibido, etc, nos darán una idea de como está armado el firewall de la red que estamos analizando.

Ejemplo:

Este es un scan nmap -vvv host:

Nmap scan report for xxxx (xxxxx)
Host is up (0.18s latency).
rDNS record for xxxxx: www.xxxxx.com
Scanned at 2013-01-09 09:17:40 ART for 32s
Not shown: 980 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   open   ftp
22/tcp   open   ssh
25/tcp   open   smtp
53/tcp   open   domain
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1022/tcp closed exp2
1311/tcp closed rxmon
2525/tcp open   ms-v-worlds
3306/tcp open   mysql
3690/tcp closed svn
5666/tcp open   nrpe
9418/tcp closed git

Ahora, usando el parametro --reason al mismo host, o sea, nmap -vvv --reason, la saldida es:

Nmap scan report for xxxxx (xxxxxx)
Host is up, received echo-reply (0.18s latency).
rDNS record for xxxxxx: www.xxxxx.com
Scanned at 2013-01-09 09:19:29 ART for 28s
Not shown: 980 filtered ports
Reason: 980 no-responses
PORT     STATE  SERVICE     REASON
20/tcp   closed ftp-data    reset
21/tcp   open   ftp         syn-ack
22/tcp   open   ssh         syn-ack
25/tcp   open   smtp        syn-ack
53/tcp   open   domain      syn-ack
80/tcp   open   http        syn-ack
110/tcp  open   pop3        syn-ack
143/tcp  open   imap        syn-ack
443/tcp  open   https       syn-ack
465/tcp  open   smtps       syn-ack
587/tcp  open   submission  syn-ack
993/tcp  open   imaps       syn-ack
995/tcp  open   pop3s       syn-ack
1022/tcp closed exp2        reset
1311/tcp closed rxmon       reset
2525/tcp open   ms-v-worlds syn-ack
3306/tcp open   mysql       syn-ack
3690/tcp closed svn         reset
5666/tcp open   nrpe        syn-ack
9418/tcp closed git         reset

3 comentarios:

[Q]3rV[0] dijo...

Conocia esa opcion, otra que es interesante es -d mediante la cual se puede nivelar el modo de depuracion y ver de manera mas detallada el trabajo de nmap.

SynFlag dijo...

Interesante el -d, lo tenia visto, pero como siempre le doy al space bar, por ansioso, no lo suelo usar, pero si, me ahorraría darle al space bar cada 1 seg. Lo interesante que al menos en la versión 6, la última, incluso hace el laburito de --reason, además de agregar mas cosas, buen dato!

M3t4g4m3 dijo...

Genial detalle de nmap que no conocía... :-)