Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
140 lecturas y 35 respuestas
  • Cerrado

    [Editado]

    A ver si alguien sabe de que va esto !!!!!!!!!!!

    Hola, hace poquito escanee a un amigo con el nmap y vi que tenia el puerto TCP 80 abierto. El 80 abierto, me dije ?????. Mi amigo tiene un XP, y una conexión de 56K con Uni2 (en estos tiempos ... :-P ). El hace un netstat -a, pero no le sale ningun puerto abierto (xapo el 5000 y quito el cliente de redes M$,etc...). Bueno, pues lo comprobe tambien con el hping2, mandandole un paquete SYN al 80, y si, respondia con una paquete SYN/ACK ... He comprobado que no es un servidor web "oculto" porque no muestra una pagina web. Pero claro hay "algo" que escucha peticiones de conexión en ese puerto... Cabe decir que el chico tiene puesto un firewall, el norton.
    Otra cosa curiosa. Cuando le mandaba paquetes SYN/ACK (saltandome su firewall :-P, que solo filtra SYN ), el reset que recibia tenia un valor de TTL de 114 si no recuerdo mal. Hasta aqui todo normal, porque al tener un XP, el TTL que tiene es de 125. Pero aqui viene lo curioso del tema, al hacer el SYN al 80, la respuesta de este, el SYN/ACK tiene un ttl de sesenta y pico ... :-?

    Bueno, alguien sabria que pinta ese puerto abierto????
    (Por ejemplo Lofter o _Stendall_ por decir a alguien ;-) jejeje)
    Porque yo no lo entiendo

    Saludos

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      ¿No será que todo el tráfico que tiene como destino un puerto…

      ¿No será que todo el tráfico que tiene como destino un puerto 80 tiene un enrutamiento diferente a un proxy transparente quizá? A mi me parece que por ahí van los tiros, de ahí lo que cuentas de los TTL. Aún así hay cosas que no me cuadran del todo y habría que pensarlo un poco. Seguro que se monta un hilo interesante con esto y entre todos aprendemos algo.

      Salu2.

      • Cerrado

        Es verdad, no me había fijado q comenta ke el netstat no le…

        Es verdad, no me había fijado q comenta ke el netstat no le dice nada de ke esté escuchando nada en el 80. Y sobre el ttl pues tiene la pinta de ke no es un ttl de la misma makina.

    • Cerrado

      Bueno, con lo que comentas, a mi me parece que puede ser un…

      Bueno, con lo que comentas, a mi me parece que puede ser un proxy de http, la manera mas facil de probarlo seria que tu amigo quitase unos minutos el norton, y tu intentases ver una pagina web con el mozilla poniendo de proxy http, en opciones, la ip de tu amigo y el puerto 80.

      Eso lo digo dando por hecho que el servidor que esta a la escucha esta relacionado con el puerto que tiene puesto, si no es asi, lo de que sea un proxy me parece menos viable.

      Lo que mas me extraña de todo es lo que has comentado del ttl, es muy curioso, pero pudiera ser culpa de el norton, ya te digo que pudiera, pero nada fijo, de todas formas dile que lo quite unos minutos y vuelve a intentar conectarte usando de flags solo el SYN, y luego el SYN/ACK.

      Otra cosa que me extraña es que el netstat le diga que no tiene ningun puerto a la escucha, incluso quitando el cliente para redes y el upnp, se me hace raro, deberia tener algun puerto a la escucha; ¿te ha mandado la captura del netstat o le has dicho que lo mirase y te ha dicho que no habia nada?

      Mira si puedes estas 2 cosas que te digo y con lo que sea lo posteas y seguimos intentando aclarar.

      Un saludo.

      P.D.
      Ya siento no poder decirte nada mas, pero si el puerto no te contesta con un banner cuando te conectas y los unicos datos que tenemos son el puerto y el tema del ttl (que puede ser cosa del firewall), nos hacen falta mas datos y pruebas para sacar con certeza el tema.

        • Cerrado

          Tienes razon, cualquiera que lo lea, que no sepa de que va el…

          Tienes razon, cualquiera que lo lea, que no sepa de que va el tema, le parecera que no me decido :)

          Que "fuese" Anthrax no habia caido yo tampoco, es lo mas probable ahora que lo dices, sobre todo viendo el tema del ttl.

          Un saludo.

      • Cerrado

        Cuando haya probado lo que me dices y tenga más datos los…

        Cuando haya probado lo que me dices y tenga más datos los posteo aqui ;). No habia caido en el tema del proxi http (como dice el FreeBSD :) ), ya que se supone que al ser una peticion al puerto 80 deberia pasar por el proxi cache.

        Saludos

        • Cerrado

          He vuelto a mirar el post este medio dia, y releyendolo he…

          He vuelto a mirar el post este medio dia, y releyendolo he caido en una cosa, creo que lo del proxy transparente de tu proveedor explica la variacion del ttl, pero luego me he caido en que yo con ono tengo proxy transparente pero si escaneo con el nmap cualquier host no veo abierto el puerto 80 si el host no lo tiene abierto.
          Asi que, creo que lo del ttl queda explicado por el tema del proxy transparente, pero de todas formas tu amigo debe de tener algun servicio a la escucha, ¿has probado a conectarte y mandarle un GET HTTP/1.0 por ejemplo, para ver si te devuelve algo?

          Un saludo.

          • Cerrado

            [Editado]

            Si que lo he hecho. Fue una de las primeras cosas que probe,…

            Si que lo he hecho. Fue una de las primeras cosas que probe, poner la IP en el navegador y ver si me mostraba una pagina web. Lo hice tanto por telnet, haciendo el get http, tambien probe con el IE,el lynx y el mozilla. No salia ninguna página web, o sea que el tema de web diria que esta descartado.
            De todas maneras lo que tu dices es cierto, si el host destino no tiene el puerto 80 abierto, aunque se pasa por el proxi se recibiria un reset, al estar el puerto cerrado.

            Como ya dije este chico tiene un XP en su pc. Ahora que recuerdo, les hice hace algun tiempo un escaneo a un par de conocidos, uno con cable y otro con adsl (juraria que los dos tenian tambien XP) y les salia tambien el 80 abierto .... Uno me comento que hacia poco le habian metido en el pc el subseven. Pero claro escucha en el puerto 80??? :-?

            Lo que me pregunto yo , es que debe estar escuchando en el 80, y no creo que sea nada que acepte peticiones http "normales".

            Hare una pequeña comprobación, le dire al chaval que xape todo incluido el firewall y el p2p que tiene, no se cual. Y que se ponga a sniffar. Despues le mandare el SYN a su ip al puerto 80. Si captura el SYN que le envio con el sniffer, entonces es su pc el que tiene el 80 abierto (aunque el netstat -a diga que no .. :P). En cambio si no captura nada, y recibo como respuesta al SYN un SYN/ACK ..... dios sabe que es lo que pasa. :-o

            Respecto al valor del ttl que no me cuadraba, he hecho algunas investigaciones y es cierto, es por el proxi de la timo. Por estos motivos :

            - Todo el trafico de respuesta de los servidores web, ya esten en España como fuera, tanto servidores montados en windows como unix, el valor del ttl de respuesta es siempre 62.

            - Tengo siempre el proxi de la timo a 2 routers. Por tanto el proxi debe estar montado en una maquina basada en unix, porque su ttl inicial es 64.

            Lo curioso es que al pasar por el proxi el trafico de vuelta, parte con el valor del ttl del propio SO del proxi. (como dice _Stendall_ , el proxi enmascara el trafico de vuelta)

            Puede ser el proxi el culpable de esta movida??? no creo no?

            Saludos

            PD: Hay que ver lo que se me ha alargado este post ... :P
            Lo que se aprende cuando te pones a investigar y mirar todas estas cosillas.
            La putada es que me he tenido que quitar el linux, y todas estas comprobaciones no se pueden hacer desde guindous ... sniff :(

            • Cerrado

              Bueno, no importa mucho si se alarga algo el tema con tal de…

              Bueno, no importa mucho si se alarga algo el tema con tal de sacar la solucion a el problema, ademas, de todo se aprende.

              Un saludo.

            • Cerrado

              Es posible que ese puerto abierto que se ve sea causa de un…

              Es posible que ese puerto abierto que se ve sea causa de un proxy un poco peculiar. Puestos a suponer, supongo lo siguiente:

              Cuando escaneas el puerto 80 TCP se enviará una petición de conexión que es posible que el proxy acepte sin más y posteriormente él realice otra petición de conexión al teórico servidor web que está en el PC de tu amigo. Obviamente la segunda petición de conexión será rechazada ya que no existe (presumiblemente) ningún programa que escuche en dicho puerto, aunque en ese momento debería producirse la cancelación de la primera conexión pero parece que no lo hace... Le puedes enviar todos los paquetes de reinicio, resincronización o panes benditos que te responderá porque la conexión con el proxy está establecida. En cuanto que le envíes cualquier paquete de datos que contenga información de nivel de aplicación HTTP no responderá (sí ACKs pero no te enviará información HTTP) porque eso sí que lo reenviará sin más. De esta manera parece que ese proxy transparente no es tan transparente como parece.

              Esto que os digo no me lo creo mucho ni yo :-? , pero por suponer...

              Salu2.

              • Cerrado

                Jejejeje. Creo que tu suposición es correcta. Y que es tal…

                Jejejeje.

                Creo que tu suposición es correcta. Y que es tal como dices. En primer momento el proxi me acepta la conexión TCP al 80 (realmente es con el proxi, por eso el valor del TTL) y despues el proxi intenta la conexión con el servidor web(si no tiene la pagina web en cache) . El proxi hace de "man in the middle" ;) . Lo que pasa es que mi proxi se queda "tonto" esperando respuesta del otro lado. No se resetea la conexión hasta que hay timeout, y entonces el proxi me envia el FIN/ACK y mi host responde con el ACK.

                Tambien me he dado cuenta que si intento conectarme via navegador web, se establece la conexión, se envia el get http y recibo el ack ,pero sin datos hhtp (juer que miedo das ! :P). Entonces se cierra la conexión mucho más rapido que antes. (Me sale pagina de "No se puede mostrar la página" )

                He probado todo esto con varios servidores DNS, que se supone que no tendrian que tener abierto el 80 (194.179.1.100 y 194.179.1.101). Con los que estan filtrados como el 194.224.52.36, se queda esperando más el proxi.

                Lo malo de esto es que no puedo ver el tráfico que hay entre el proxi y el "supuesto" servidor web. Pero bueno esto lo probare cuando sea posible con una amigo, capturando el el trafico entre él, (servidor web) y el proxi. A ver que sale.

                Lo que no se a ciencia cierta si este comportamiento és normal, o es el proxi que tengo delante que esta "mal" configurado. Estaria bien que más gente probara todo esto, por ejemplo probando si los DNS de más arriba les sale el TCP 80 abierto. Esto lo podria hacer especialmente el _Stendall_ que tiene ono y no esta detras del proxi de la timo, pero si del de ONO, no? ;)

                Saludos

                8)

                • Cerrado

                  Pues va ser eso. Lo que a mi no me cuadra es que espere hasta…

                  Pues va ser eso. Lo que a mi no me cuadra es que espere hasta el salto del time out para cancelar la conexión, ya que la maquina de tu amigo debería rechazar activamente la conexión al no tener aplicación a la escucha en dicho puerto. Aunque eso sí puede ser el firewall que esté en modo silencioso. Por eso sí que sería interesante ver lo que pasa en el otro lado.

                  La razón por la cual si te conectas con el navegador se cierra la conexión más rápido es porque ya le estás mandando datos y el proxy no sabe qué hacer con ellos ya que no puede reenviarlos y saltará otro time out más pequeño que hace que devuelva el error.

                  Más o menos se está desvelando el misterio. A ver si nos sigues informando.

                  Salu2.

                • Cerrado

                  Como tu dices yo estoy con ono, si quieres que te pruebe…

                  Como tu dices yo estoy con ono, si quieres que te pruebe cualquier cosa no tienes mas que decirlo, voy a ver ahora lo de las dns que has puesto y te comentare, si no quieres publicar aqui la ip de tu amigo mandamela por correo y te lo miro en un momento.
                  Tengo el nmap, hping2 y todo lo que quieras, si te hace falta hacer las pruebas con algun programa que no tenga, lo bajo de una patada con el apt, asi que dime exactamente que es lo que necesites, y la linea de comandos, y te posteo la captura del resultado.

                  Aqui te pongo el escaneo rapido de las dns
                  ------------------------------------------------------------------------

                  nmap -sT -T5 -P0 -v -F "y las ips que has posteado"

                  Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
                  Host minerva.ttd.net (194.179.1.100) appears to be up ... good.
                  Initiating Connect() Scan against minerva.ttd.net (194.179.1.100)
                  Adding open port 53/tcp
                  Adding open port 143/tcp
                  Adding open port 135/tcp
                  Adding open port 25/tcp
                  The Connect() Scan took 37 seconds to scan 1100 ports.
                  Interesting ports on minerva.ttd.net (194.179.1.100):
                  (The 1095 ports scanned but not shown below are in state: closed)
                  Port State Service
                  25/tcp open smtp
                  53/tcp open domain
                  135/tcp open loc-srv
                  143/tcp open imap2
                  27374/tcp filtered subseven

                  Host artemis.ttd.net (194.179.1.101) appears to be up ... good.
                  Initiating Connect() Scan against artemis.ttd.net (194.179.1.101)
                  Adding open port 53/tcp
                  Adding open port 25/tcp
                  The Connect() Scan took 37 seconds to scan 1100 ports.
                  Interesting ports on artemis.ttd.net (194.179.1.101):
                  (The 1097 ports scanned but not shown below are in state: closed)
                  Port State Service
                  25/tcp open smtp
                  53/tcp open domain
                  27374/tcp filtered subseven

                  Host ns1.telefonica-data.com (194.224.52.36) appears to be up ... good.
                  Initiating Connect() Scan against ns1.telefonica-data.com (194.224.52.36)
                  Adding open port 53/tcp
                  Adding open port 264/tcp
                  Skipping host ns1.telefonica-data.com (194.224.52.36) due to host timeout

                  Nmap run completed -- 3 IP addresses (3 hosts up) scanned in 149 seconds

                  ------------------------------------------------------------------------

                  El puerto del subseven sale por culpa de el filtro que hay puesto en el modem para algunos puertos ( que tomen nota los que dicen que solo bloquean los puertos por debajo de 1024).

                  • Cerrado

                    [Editado]

                    Aja! Como suponia cuando escaneas tu, te dice que el puerto…

                    Aja! Como suponia cuando escaneas tu, te dice que el puerto 80 no esta abierto.... MMMMM
                    Es mi proxy que se "inventa" que el puerto 80 del destino este abierto, al establecerse realmente la conexión con el proxi.
                    Bueno, esto ya toca a su fin ya que solo me queda ver el tráfico proxi-servidor. Esto lo hare cuando sea posible con mi amigo, capturando él el trafico.
                    Lo mejor será hacer las pruebas con el puerto 80 (mediante telnet y navegador) y capturar el tráfico en los dos extremos.

                    Lo malo de todo esto es que cuando escanee a algun host, SIEMPRE me saldrá el puerto 80 abierto... :o
                    Llamaré al servicio técnico de ya.com, para quejarme que no puedo escanear como dios manda.... JEJEJE (a ver que me dicen... :P )
                    Seria INTERESANTE que más gente que tuviera el proxy de la timo probaran si les pasa lo mismo que a mi. Y posteen sus resultados aqui :)

                    Saludos

                    P.D :
                    En cuando haya hecho las pruebas pongo un post con mis deducciones de los resultados.
                    Si no es molestia _Stendall_ ;), usa con los dns el hping. Manda un paquete SYN al 80, a ver si te responden con un Reset o SYN/ACK. Y me dices que tal fue. El Nmap es un caña de escaneador, pero a mi a veces me ha dado falsos positivos (la mayoria de las veces eran puertos UDP, sobretodo si estaban filtrados... 8) )

                    • Cerrado

                      Hecho. haciendo un hping 194.179.1.100 -S -p 80 contesta con…

                      Hecho.
                      haciendo un hping 194.179.1.100 -S -p 80 contesta con un ttl de 55 y de flags RA, Supongo que sera reset y ack.

                      haciendo un hping 194.179.1.101 -S -p 80 contesta con un ttl de 55 y de flags RA

                      haciendo un hping 194.224.52.36 -S -p 80 no contesta nada.

                      no habia usado antes el hping, asi que si no son esos los parametros que quieres que le meta a la linea de comandos, dime cuales quieres y te vuelvo a postear lo que me responde.

                      Un saludo.

                      P.D.

                      Pues si que es curioso lo de los proxyes , el de telefonica y el de ono.

                      • Cerrado

                        Le has pasado los parámetros correctos al hping. Los dos…

                        Le has pasado los parámetros correctos al hping. Los dos primeros dns responden al SYN un Reset/Ack. Eso quiere decir que tienen el 80 cerrado(tu proxi de ONO se comporta mejor que el de la timo :P). El tercer dns no responde nada porque tiene filtrado ese puerto (y bastantes más). Como curiosidad esos dns estan montados sobre Solaris, vaya que no es arquitectura intel, sino sparc(de sun). Por lo visto es más estable que la intel.

                        La herramienta hping va muy bien para crear paquetes a medida. Yo lo utilizo para por ejemplo comprobar a veces resultados que no me cuadran mucho del nmap. Como curiosidad hping permite enviar paquetes TCP SYN/ACK, cosa que nmap no puede hacer (al menos la versión que tengo yo, la 3.0 ). Estos paquetes a veces consiguen pasar por firewalls que no los filtran (como recordaras el norton de mi amigo).

                        Saludos

                    • Cerrado

                      Yo estoy con telefónica pero no he podido probar nada porque…

                      Yo estoy con telefónica pero no he podido probar nada porque me he cargado mi FreeBSD por un tema de particiones y como iba a salir la 4.8 me he estado esperando a volver a instalarlo. Ya me la estoy bajando así que en breve pongo por aqui mis resultados que deberían ser los mismo que te dan a ti. Podría hacerlo desde win, pero es que paso, sinceramente.

                      Voy a ver si busco algo de información sobre proxys transparentes porque ya comenté aquello que me extrañaba. Aunque Stendall está más puesto en proxys y quizá pueda decirnos si ese comportamiento es normal.

                      Salu2.

                      • Cerrado

                        [Editado]

                        tanto como más puesto en proxys, no se que decirte, no se lo…

                        tanto como más puesto en proxys, no se que decirte, no se lo que sabes tu, a mi el tema de redes me gusta un monton y es una cosa a la que meto muchas horas.

                        Con lo que sí sé, te puedo decir,es que he estado pensando el tema y que el comportamiento del proxy me parece mas o menos normal, sin entrar en el tema de que uno te conteste con un syn/ack y el otro con un ack/rst, creo que es bastante normal, a fin de cuenta las conexiones a servidores web son por tcp, y creo que es normal que no de una conexion completa escaneando una ip que no tiene servidor, teniendo tu el proxy de telefonica o quien sea, por que a fin de cuentas no se puede completar la conexion y logicamente el proxy intentara hacer los pasos previos a establecer la conexion por udp, pero como el host no le permite conectarse, el proxy acabara rechazando la conexion; ahora bien, cuando haces la conexion a mano, como por ejemplo un half scan, o con el hping, el proxy si te contesta a los pasos previos a la conexion por tcp, lo que variara, sera cuando te hecha para atras y con que banderas, por que eso dependera de como implemente el proxy las conexiones a nivel de tcp y los pasos previos a la conexion por udp.

                        Un saludo.

                        Editado.
                        por cierto que he probado con otras ips de ono y telefonica, y ninguna de ellas me contesta al hping, la verdad no entiendo de que dependera, para que unos hosts sin servidor web contesten y otros no, creo que tenga algo que ver con como contestan a los intentos de conexion a puertos que no estan a la escucha.

                        • Cerrado

                          [Editado]

                          A mi el tema de redes obviamente también me gusta por eso…

                          A mi el tema de redes obviamente también me gusta por eso elegí la profesión y carrera que elegí. Pero no me refiero tanto a al intercambio de información de control que realizan las máquinas, que está perfectamente especificado y salvo contados casos es violado. Me refiero más a la manera en la que el proxy de telefónica acepta las conexiones y tarda tanto en rechazarlas, que no me parece coherente. La única explicación que veo a eso es que el firewall del muchacho esté configurado de manera silenciosa y por eso no rechaza la conexión activamente(esto va para anthrax, dinos si estoy en lo cierto que tu sabrás como está configurado). Si haces un telnet sobre una maquina que no tiene servidor de telnet, te manda a tomar viento a no ser que esa máquina tenga orden de no responder (algo que viola el protocolo y es corriente hacer, lo digo por lo que hablamos hace tiempo stendall y yo).

                          Yo es que estaba pensando en un mecanismo diferente que ahora me doy cuenta de que es absurdo. Se trataba de esperar a que el teórico servidor web destino aceptara la conexión para que el proxy le aceptara la conexión al teórico cliente web. Pero no tiene sentido porque se estaría apurando mucho la paciencia de los time out y sería peligroso.

                          Bueno, me estoy perdiendo y desvariando. Aquí dejo mis reflexiones.

                          Salu2.

                          P.D: La edición ha sido porque me he hecho un lío con las teclas y lo he enviado sin terminar.

                          • Cerrado

                            Por lo que yo se tiene filtrado la entrada del tráfico TCP…

                            Por lo que yo se tiene filtrado la entrada del tráfico TCP 80. El mamon de mi amigo no me quiere decir lo que tiene filtrado o no (no se fia de mi jejeje :P).

                            Saludos

                        • Cerrado

                          [Editado]

                          Si descartamos que haya un firewall en la propia maquina…

                          Si descartamos que haya un firewall en la propia maquina destino o en el camino hacia esta ,(sin el firewall, estaran todos los puertos cerrados, menos los que haya un demonio que acepte peticiones de conexión), el tema de las conexiones funciona asi (Almenos por lo que yo se :P. Juraria que todos los SO que implementan una pila TCP/IP se comportan de la forma que explico abajo 8-) ).

                          --> En TCP :
                          - Si en puerto esta cerrado, la respuesta al paquete SYN es un Reset/Ack. Que cancela la petición de conexión (SYN).
                          - Si esta abierto, al SYN responde un SYN/Ack, entonces el origen manda un Ack y la conexion a 3 bandas ya esta hecha y se pueden enviar datos.

                          --> En UDP :
                          - No hay el proceso de establecimiento. Lo que hace nmap para saber si un puerto UDP esta abierto es mandar al puerto un paquete UDP con 0 bytes de datos. Si el destino responde con una mensaje de eror ICMP de puerto inalcanzable, entonces el puerto esta cerrado. Si el destino no responde nada, se "supone" que el puerto esta abierto (si estuviese filtrado "pareceria" estar abierto)

                          Saludos

                          P.D : Tengo que reconocer que el tema de redes me va bastante :D
                          Recomiendo sobre este tema y otras hierbas el link . El documento "Análisis activo y pasivo de redes" ;) .

                          • Cerrado

                            Ahora que has vuelto a mencionar el tema del firewall me he…

                            Ahora que has vuelto a mencionar el tema del firewall me he acordado de algo, prueba a hacerle un escaneo con nmap con la opcion -f para que fragmente los paquetes, solo con eso hay muchos firewalls que se hacen la picha un lio y no filtran, y el norton no es que sea una maravilla, prueba tambien con el firewalk a ver que ves.

                            Un saludo.

                            P.D.
                            Por cierto, ¿que tonteria que tu amigo no se fie de ti no? , total, no creo que le hayas dado motivos para desconfiar ;), ¿o si?
                            Otra cosa, ¿como andas de man-in-the-midle y esos temas?, llevo unos dias snifando trafico con el ettercap pero como llevo poco tiempo no acabo de pillarle el tranquillo a algunas cosas, por ejemplo una vez que he hecho un hijacking(creo que se dice asi) a una conexion, veo el trafico de salida del incauto pero no el de retorno, y cosa curiosa, mientras todo el trafico pasa a traves de mi, puedo capturar los paquetes y filtrarlos con el ipgrab, pero el tcpdump no se cosca de una ni poniendo la tarjeta del modem en promiscuo; si sabes algo acerca del tema te ruego que me lo aclares por que me tiene un poco mosca.

                            • Cerrado

                              Si te digo la verdad conozco algo la teoria del tema, pero…

                              Si te digo la verdad conozco algo la teoria del tema, pero aun no me he puesto a la práctica :P.
                              Por lo que dices lo estas haciendo con el modem cable, no? .....
                              mmm lo que yo tenia entendido era que lo de "man in the middle" se hacia en entornos ethernet (envenenado la tabla ARP de las victimas y demas historias). Pero claro al menos segun lo que tengo entendido, la red de menta que tambien es cable es en realidad una ethernet gansa.

                              Un sitio que para mi esta bien explicadito el tema y con las utilidades es este . Espero que te sirva.

                              Saludos

                              • Cerrado

                                [Editado]

                                Si, lo estoy haciendo con el modem de cable, por lo que he…

                                Si, lo estoy haciendo con el modem de cable, por lo que he leido ,hay que yo sepa 3 sistemas, por ip, por mac y por arp, el arp es el que uso yo por que es el unico que he visto que funcione en mi caso, la red de ono es una red con switch, y por lo que he visto puedo snifar a toda la gente que este en mi mismo nodo, ahora mismo 2047, he estado probando con un amigo, pero como te dije solo veo el trafico de salida, no el de entrada.

                                bueno, me voy a poner a mirar el link que me has dado, a ver si saco algo en claro o en espeso, muchas gracias.

                                Un saludo.

                                Editado.
                                Por cierto, muy buena la pagina.

                    • Cerrado

                      He estado haciendo pruebas contra IPs de algunos amigos y…

                      He estado haciendo pruebas contra IPs de algunos amigos y como esperábamos siempre da como resultado un puerto 80 abierto.

                      Un poco tarde pero he tenido algunos problemillas con algunas compilaciones pasadas de rosca.

                      Salu2.

                        • Cerrado

                          Se podría redireccionar la petición de conexión hacia un…

                          Se podría redireccionar la petición de conexión hacia un proxy externo de la red de telefónica que no use el puerto 80 de entrada y así podría verse si realmente está abierto el puerto o es una ilusión "optica". Aunque sí que sería una complicación...

                          Salu2.

                          • Cerrado

                            [Editado]

                            Porque si se va por el 80, por wevos se pasa por el proxi :(…

                            Porque si se va por el 80, por wevos se pasa por el proxi :(

                            Saludos

                            PD: Oye a ver si podrias hacer tu las ultimas pruebas de marras, porque mi amigo no encuentra un sniffer que capture el trafico que pasa por su modem (conectado al puerto com).
                            En plan de snifar en los dos extremos cuando mandes los paquetes al puerto 80 ( mandando SYN con el hping o por telnet y tambien un navegador web :P ).Snifar en tu makina y en la destino, la de algun amigo o conocido tuyo. Sobretodo para pillar el trafico proxi-destino ;)

                            Enga si lo haces ya diras algo :-D

                            • Cerrado

                              Si tu en el navegador que normalmente usas configuras que el…

                              Si tu en el navegador que normalmente usas configuras que el acceso a Internet se haga a través de un proxy externo a la red de Telefónica que escuche en el puerto 3128, el tráfico no lo captura el proxy transparente de telefónica ya que la dirección que aparece en el datagrama IP y el puerto que aparece en el segmento TCP son las del proxy que hayas configurado y no el del servidor web destino. Es decir, que al no ir destinado a un puerto 80 el proxy de telefónica no lo huele.

                              Incluso si le echas un poco de imaginación, podrías sniffearte tu mismo. Aquí te dejo una dirección de proxys públicos:

                              tools.rosinstrument.com/proxy/

                              Yo voy a ver si puedo conseguir algo de tiempo y probar más cosas. Ahora también tengo la jodienda de que me pasé poniendo niveles de optimización al compilador y todos los programas que compilé e instalé me petan bastante. Es decir, tengo un Windows 95 con aspecto de FreeBSD.

                              Salu2.

                                • Cerrado

                                  Fijo ke es el proxy d la timo... acaba d escanearme un colega…

                                  Fijo ke es el proxy d la timo... acaba d escanearme un colega y le sucede lo mismo... le sale el 80 abierto, no contesta a un GET... yo no tengo ningún servicio abierto y es más, he redireccionado el 80 a una ip ke no existe en mi lan.
                                  Este colega mio pasa por el proxy d la timo.

                                  Saludos

    Hay 1 páginas posteriores con más temas