BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

A ver si alguien sabe de que va esto !!!!!!!!!!!

1
anthrax

Hola, hace poquito escanee a un amigo con el nmap y vi que tenia el puerto TCP 80 abierto. El 80 abierto, me dije ?????. Mi amigo tiene un XP, y una conexión de 56K con Uni2 (en estos tiempos ... :-P ). El hace un netstat -a, pero no le sale ningun puerto abierto (xapo el 5000 y quito el cliente de redes M$,etc...). Bueno, pues lo comprobe tambien con el hping2, mandandole un paquete SYN al 80, y si, respondia con una paquete SYN/ACK ... He comprobado que no es un servidor web "oculto" porque no muestra una pagina web. Pero claro hay "algo" que escucha peticiones de conexión en ese puerto... Cabe decir que el chico tiene puesto un firewall, el norton.
Otra cosa curiosa. Cuando le mandaba paquetes SYN/ACK (saltandome su firewall :-P, que solo filtra SYN ), el reset que recibia tenia un valor de TTL de 114 si no recuerdo mal. Hasta aqui todo normal, porque al tener un XP, el TTL que tiene es de 125. Pero aqui viene lo curioso del tema, al hacer el SYN al 80, la respuesta de este, el SYN/ACK tiene un ttl de sesenta y pico ... :-?

Bueno, alguien sabria que pinta ese puerto abierto????
(Por ejemplo Lofter o _Stendall_ por decir a alguien ;-) jejeje)
Porque yo no lo entiendo

Saludos

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
f3l1n3

No usará Kazaa?

FreeBSD

¿No será que todo el tráfico que tiene como destino un puerto 80 tiene un enrutamiento diferente a un proxy transparente quizá? A mi me parece que por ahí van los tiros, de ahí lo que cuentas de los TTL. Aún así hay cosas que no me cuadran del todo y habría que pensarlo un poco. Seguro que se monta un hilo interesante con esto y entre todos aprendemos algo.

Salu2.

🗨️ 3
f3l1n3

Es verdad, no me había fijado q comenta ke el netstat no le dice nada de ke esté escuchando nada en el 80. Y sobre el ttl pues tiene la pinta de ke no es un ttl de la misma makina.

Stendall1

Seria un proxy transparente muy raro, por que normalmente se enmascara el trafico de salida , no el de entrada.

Un saludo.

🗨️ 1
FreeBSD

Digo que el proxy transparente lo tiene Anthrax, no su amigo.

Salu2.

Stendall1

Bueno, con lo que comentas, a mi me parece que puede ser un proxy de http, la manera mas facil de probarlo seria que tu amigo quitase unos minutos el norton, y tu intentases ver una pagina web con el mozilla poniendo de proxy http, en opciones, la ip de tu amigo y el puerto 80.

Eso lo digo dando por hecho que el servidor que esta a la escucha esta relacionado con el puerto que tiene puesto, si no es asi, lo de que sea un proxy me parece menos viable.

Lo que mas me extraña de todo es lo que has comentado del ttl, es muy curioso, pero pudiera ser culpa de el norton, ya te digo que pudiera, pero nada fijo, de todas formas dile que lo quite unos minutos y vuelve a intentar conectarte usando de flags solo el SYN, y luego el SYN/ACK.

Otra cosa que me extraña es que el netstat le diga que no tiene ningun puerto a la escucha, incluso quitando el cliente para redes y el upnp, se me hace raro, deberia tener algun puerto a la escucha; ¿te ha mandado la captura del netstat o le has dicho que lo mirase y te ha dicho que no habia nada?

Mira si puedes estas 2 cosas que te digo y con lo que sea lo posteas y seguimos intentando aclarar.

Un saludo.

P.D.
Ya siento no poder decirte nada mas, pero si el puerto no te contesta con un banner cuando te conectas y los unicos datos que tenemos son el puerto y el tema del ttl (que puede ser cosa del firewall), nos hacen falta mas datos y pruebas para sacar con certeza el tema.

🗨️ 29
FreeBSD

A ver si te decides :-P :-P (es coña).

Salu2.

🗨️ 1
Stendall1

Tienes razon, cualquiera que lo lea, que no sepa de que va el tema, le parecera que no me decido :)

Que "fuese" Anthrax no habia caido yo tampoco, es lo mas probable ahora que lo dices, sobre todo viendo el tema del ttl.

Un saludo.

anthrax

Cuando haya probado lo que me dices y tenga más datos los posteo aqui ;). No habia caido en el tema del proxi http (como dice el FreeBSD :) ), ya que se supone que al ser una peticion al puerto 80 deberia pasar por el proxi cache.

Saludos

🗨️ 26
Stendall1

He vuelto a mirar el post este medio dia, y releyendolo he caido en una cosa, creo que lo del proxy transparente de tu proveedor explica la variacion del ttl, pero luego me he caido en que yo con ono tengo proxy transparente pero si escaneo con el nmap cualquier host no veo abierto el puerto 80 si el host no lo tiene abierto.
Asi que, creo que lo del ttl queda explicado por el tema del proxy transparente, pero de todas formas tu amigo debe de tener algun servicio a la escucha, ¿has probado a conectarte y mandarle un GET HTTP/1.0 por ejemplo, para ver si te devuelve algo?

Un saludo.

🗨️ 25
anthrax

Si que lo he hecho. Fue una de las primeras cosas que probe, poner la IP en el navegador y ver si me mostraba una pagina web. Lo hice tanto por telnet, haciendo el get http, tambien probe con el IE,el lynx y el mozilla. No salia ninguna página web, o sea que el tema de web diria que esta descartado.
De todas maneras lo que tu dices es cierto, si el host destino no tiene el puerto 80 abierto, aunque se pasa por el proxi se recibiria un reset, al estar el puerto cerrado.

Como ya dije este chico tiene un XP en su pc. Ahora que recuerdo, les hice hace algun tiempo un escaneo a un par de conocidos, uno con cable y otro con adsl (juraria que los dos tenian tambien XP) y les salia tambien el 80 abierto .... Uno me comento que hacia poco le habian metido en el pc el subseven. Pero claro escucha en el puerto 80??? :-?

Lo que me pregunto yo , es que debe estar escuchando en el 80, y no creo que sea nada que acepte peticiones http "normales".

Hare una pequeña comprobación, le dire al chaval que xape todo incluido el firewall y el p2p que tiene, no se cual. Y que se ponga a sniffar. Despues le mandare el SYN a su ip al puerto 80. Si captura el SYN que le envio con el sniffer, entonces es su pc el que tiene el 80 abierto (aunque el netstat -a diga que no .. :P). En cambio si no captura nada, y recibo como respuesta al SYN un SYN/ACK ..... dios sabe que es lo que pasa. :-o

Respecto al valor del ttl que no me cuadraba, he hecho algunas investigaciones y es cierto, es por el proxi de la timo. Por estos motivos :

- Todo el trafico de respuesta de los servidores web, ya esten en España como fuera, tanto servidores montados en windows como unix, el valor del ttl de respuesta es siempre 62.

- Tengo siempre el proxi de la timo a 2 routers. Por tanto el proxi debe estar montado en una maquina basada en unix, porque su ttl inicial es 64.

Lo curioso es que al pasar por el proxi el trafico de vuelta, parte con el valor del ttl del propio SO del proxi. (como dice _Stendall_ , el proxi enmascara el trafico de vuelta)

Puede ser el proxi el culpable de esta movida??? no creo no?

Saludos

PD: Hay que ver lo que se me ha alargado este post ... :P
Lo que se aprende cuando te pones a investigar y mirar todas estas cosillas.
La putada es que me he tenido que quitar el linux, y todas estas comprobaciones no se pueden hacer desde guindous ... sniff :(

🗨️ 24
FreeBSD
FreeBSD
🗨️ 22
anthrax
anthrax
🗨️ 21
anthrax
anthrax
🗨️ 18
FreeBSD
FreeBSD
🗨️ 8
Stendall1
Stendall1
🗨️ 7
FreeBSD
FreeBSD
🗨️ 1
anthrax
anthrax
🗨️ 4
anthrax
anthrax
🗨️ 2
Stendall1
Stendall1
🗨️ 1
f3l1n3
f3l1n3
FreeBSD
FreeBSD
🗨️ 6
anthrax
anthrax
🗨️ 5
FreeBSD
FreeBSD
🗨️ 4
anthrax
anthrax
🗨️ 3
FreeBSD
FreeBSD
🗨️ 2
anthrax
anthrax
🗨️ 1
f3l1n3
f3l1n3