Difference entre NETSTAT -AN et un scan

Difference entre NETSTAT -AN et un scan - Sécurité - Windows & Software

Marsh Posté le 04-04-2006 à 17:02:12    

Salut a tous,
 
si j'effectue un NETSTAT -AN sur mon XP, je recois une liste de port en ecoute bien plus importante que la liste retournee par nmap lance en mode root.
 
Voici le resultat de mon netstat -an:

Code :
  1. C:\>netstat -an
  3. Active Connections
  5.   Proto  Local Address          Foreign Address        State
  6.   TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  7.   TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  8.   TCP    0.0.0.0:1044           0.0.0.0:0              LISTENING
  9.   TCP    0.0.0.0:6129           0.0.0.0:0              LISTENING
  10.   TCP    0.0.0.0:9535           0.0.0.0:0              LISTENING
  11.   TCP    0.0.0.0:9593           0.0.0.0:0              LISTENING
  12.   TCP    0.0.0.0:9594           0.0.0.0:0              LISTENING
  13.   TCP    0.0.0.0:9595           0.0.0.0:0              LISTENING
  14.   TCP    0.0.0.0:33354          0.0.0.0:0              LISTENING
  15.   TCP    10.176.99.14:139       0.0.0.0:0              LISTENING
  16.   TCP    10.176.99.14:1109      10.176.97.29:8080      CLOSE_WAIT
  17.   TCP    10.176.99.14:1193      10.176.97.16:1093      ESTABLISHED
  18.   TCP    10.176.99.14:1197      10.176.97.16:1118      ESTABLISHED
  19.   TCP    10.176.99.14:1206      10.176.225.35:3389     ESTABLISHED
  20.   TCP    10.176.99.14:1309      10.176.97.1:3268       CLOSE_WAIT
  21.   TCP    10.176.99.14:1317      10.176.97.9:445        ESTABLISHED
  22.   TCP    10.176.99.14:1808      10.176.97.44:445       ESTABLISHED
  23.   TCP    10.176.99.14:1980      10.176.97.29:8080      ESTABLISHED
  24.   TCP    10.176.99.14:1981      10.176.97.29:8080      ESTABLISHED
  25.   TCP    10.176.99.14:1982      10.176.97.29:8080      ESTABLISHED
  26.   TCP    10.176.99.14:1983      10.176.97.29:8080      ESTABLISHED
  27.   TCP    127.0.0.1:1035         0.0.0.0:0              LISTENING
  28.   TCP    127.0.0.1:1059         0.0.0.0:0              LISTENING
  29.   TCP    127.0.0.1:1087         127.0.0.1:6139         ESTABLISHED
  30.   TCP    127.0.0.1:1236         127.0.0.1:1237         ESTABLISHED
  31.   TCP    127.0.0.1:1237         127.0.0.1:1236         ESTABLISHED
  32.   TCP    127.0.0.1:6139         0.0.0.0:0              LISTENING
  33.   TCP    127.0.0.1:6139         127.0.0.1:1087         ESTABLISHED
  34.   TCP    127.0.0.1:9592         0.0.0.0:0              LISTENING
  35.   UDP    0.0.0.0:67             *:*
  36.   UDP    0.0.0.0:69             *:*
  37.   UDP    0.0.0.0:445            *:*
  38.   UDP    0.0.0.0:500            *:*
  39.   UDP    0.0.0.0:1025           *:*
  40.   UDP    0.0.0.0:1026           *:*
  41.   UDP    0.0.0.0:1195           *:*
  42.   UDP    0.0.0.0:1207           *:*
  43.   UDP    0.0.0.0:1235           *:*
  44.   UDP    0.0.0.0:1759           *:*
  45.   UDP    0.0.0.0:1866           *:*
  46.   UDP    0.0.0.0:1868           *:*
  47.   UDP    0.0.0.0:1881           *:*
  48.   UDP    0.0.0.0:1883           *:*
  49.   UDP    0.0.0.0:1884           *:*
  50.   UDP    0.0.0.0:1885           *:*
  51.   UDP    0.0.0.0:1886           *:*
  52.   UDP    0.0.0.0:4011           *:*
  53.   UDP    0.0.0.0:4500           *:*
  54.   UDP    0.0.0.0:8080           *:*
  55.   UDP    0.0.0.0:9595           *:*
  56.   UDP    0.0.0.0:33354          *:*
  57.   UDP    0.0.0.0:33355          *:*
  58.   UDP    0.0.0.0:38293          *:*
  59.   UDP    10.176.99.14:123       *:*
  60.   UDP    10.176.99.14:137       *:*
  61.   UDP    10.176.99.14:138       *:*
  62.   UDP    10.176.99.14:1900      *:*
  63.   UDP    127.0.0.1:123          *:*
  64.   UDP    127.0.0.1:1027         *:*
  65.   UDP    127.0.0.1:1047         *:*
  66.   UDP    127.0.0.1:1054         *:*
  67.   UDP    127.0.0.1:1308         *:*
  68.   UDP    127.0.0.1:1900         *:*
  70. C:\>

Alors que mon netstat ne me renvoit que voici ce que me renvoit nmap:

Code :
  1. gbdeeunil0001:/var/log/ntpstats# nmap 10.176.99.14
  3. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-03 14:56 BST
  4. Interesting ports on gbdeewdtdxxx.gb.corp (10.176.99.14):
  5. (The 1659 ports scanned but not shown below are in state: closed)
  6. PORT     STATE SERVICE
  7. 135/tcp  open  msrpc
  8. 139/tcp  open  netbios-ssn
  9. 445/tcp  open  microsoft-ds
  10. 9535/tcp open  man
  11. MAC Address: 00:0D:56:C5:2A:A1 (Dell Pcba Test)
  13. Nmap finished: 1 IP address (1 host up) scanned in 3.069 seconds
  14. gbdeeunil0001:/var/log/ntpstats#


 
D'ou cela provient la difference de resultat ??
 
Merci

Reply

Marsh Posté le 04-04-2006 à 17:02:12   

Reply

Marsh Posté le 04-04-2006 à 17:11:02    

fait un nmap -p 1-65535 10.176.99.14 car par défaut nmap ne scanne que certains ports
pour l'UDP  nmap -sU -p 1-65535 10.176.99.14


Message édité par jlighty le 04-04-2006 à 17:13:29
Reply

Marsh Posté le 04-04-2006 à 17:25:28    

Nickel  
 
Par contre tous mes ports UDP apparaissent filtres, alors que la connection n'est pas controlee.
Normal ?
 

Code :
  1. gbdeeunil0001:/proc/net# nmap -sU -p 1-65535 10.176.99.14
  3. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-03 15:21 BST Interesting ports on ...
  4. (The 65508 ports scanned but not shown below are in state: closed)
  5. PORT      STATE         SERVICE
  6. 67/udp    open|filtered dhcpserver
  7. 69/udp    open|filtered tftp
  8. 123/udp   open|filtered ntp
  9. 137/udp   open|filtered netbios-ns
  10. 138/udp   open|filtered netbios-dgm
  11. 445/udp   open|filtered microsoft-ds
  12. 500/udp   open|filtered isakmp
  13. 1025/udp  open|filtered blackjack
  14. 1026/udp  open|filtered unknown
  15. 1195/udp  open|filtered unknown
  16. 1207/udp  open|filtered unknown
  17. 1235/udp  open|filtered unknown
  18. 1759/udp  open|filtered unknown
  19. 1866/udp  open|filtered unknown
  20. 1868/udp  open|filtered unknown
  21. 1881/udp  open|filtered unknown
  22. 1883/udp  open|filtered unknown
  23. 1884/udp  open|filtered unknown
  24. 1885/udp  open|filtered unknown
  25. 1886/udp  open|filtered unknown
  26. 1900/udp  open|filtered UPnP
  27. 4011/udp  open|filtered unknown
  28. 4500/udp  open|filtered sae-urn
  29. 8080/udp  open|filtered unknown
  30. 33354/udp open|filtered unknown
  31. 33355/udp open|filtered unknown
  32. 38293/udp open|filtered landesk-cba
  33. MAC Address: 00:0D:56:C5:2A:A1 (Dell Pcba Test)
  35. Nmap finished: 1 IP address (1 host up) scanned in 46.255 seconds gbdeeunil0001:/proc/net#


Message édité par rld le 04-04-2006 à 17:26:34
Reply

Marsh Posté le 04-04-2006 à 17:34:14    

dans l'aide de nmap

Citation :

  -sU    UDP scans: This method is used  to  determine  which  UDP  (User
              Datagram Protocol, RFC 768) ports are open on a host.  The tech-
              nique is to send 0 byte UDP packets to each port on  the  target
              machine.   If  we receive an ICMP port unreachable message, then
              the port is closed.  If a UDP response is received to the  probe
              (unusual),  the port is open.  If we get no response at all, the
              state is "open|filtered", meaning that the port is  either  open
              or packet filters are blocking the communication.  Versions scan
              (-sV) can be used to help differentiate  the  truly  open  ports
              from the filtered ones.

Reply

Marsh Posté le 05-04-2006 à 09:55:30    

Merci.
 
Pour toi, ce resultat signifie-t-il qu'un serveur de temps NTP fonctionne sur cette machine ?

Code :
  1. gbdeeunil0001:/# nmap -sUV 10.176.97.1
  3. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-04 05:31 BST
  4. caught SIGINT signal, cleaning up
  5. gbdeeunil0001:/home/romain# nmap -p 123 -sUV 10.176.97.1
  7. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-04 05:32 BST
  8. Interesting ports on gbdeectl0001.gb.corp (10.176.97.1):
  9. PORT    STATE SERVICE VERSION
  10. 123/udp open  ntp?
  11. 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
  12. SF-Port123-UDP:V=3.81%D=4/4%Time=4431F6C8%P=i686-pc-linux-gnu%r(NTPRequest
  13. SF:,30,"\x1c\x05\x04\xfa\0\0\x16_\0\0\+\xd3\n\xf8\x10e\xc7\xdd\xf3#{>ku\xc
  14. SF:5O#Kq\xb1R\xf3\xc7\xdd\xf4\xe2\xe7F\x9c\x9c\xc7\xdd\xf4\xe2\xe7F\x9c\x9
  15. SF:c" );
  16. MAC Address: 00:0F:1F:68:1F:A8 (WW Pcba Test)
  18. Nmap finished: 1 IP address (1 host up) scanned in 45.667 seconds
  19. gbdeeunil0001:/#


Reply

Marsh Posté le 05-04-2006 à 10:00:19    

Oui, il y a un service qui écoute sur le port 123 c'est surement un serveur ntp.

Citation :

123/udp open  ntp?


Citation :

UDP    127.0.0.1:123          *:*


et

Citation :

:V=3.81%D=4/4%Time=4431F6C8%P=i686-pc-linux-gnu%r(NTPRequest


Message édité par jlighty le 05-04-2006 à 10:02:16
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed