Olá!
Aconselho rodar o nmap em todas as porta TCP e UDP, veja
um exemplo:
# nmap -p 0-65535 192.168.0.1
Starting Nmap 7.80 (
https://nmap.org ) at 2021-02-15 14:22 -03
Nmap scan report for 192.168.0.1
Host is up (0.0034s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
80/tcp open http
1900/tcp closed upnp
1910/tcp closed ultrabac
Nmap done: 1 IP address (1 host up) scanned in 110.45 seconds
Aqui nota-se que de todas as portas TCPs, apenas 3
responderam, dessas, uma (80) respondeu OK e duas responderam
negativamente, isto é, estão abertas, tem um software escutando
nessas portas, mas cada um recusou a conexão do nmap.
Para UDP:
# nmap -sU -p 0-65535 192.168.0.1
Starting Nmap 7.80 (
https://nmap.org ) at 2021-02-15 14:31 -03
Nmap scan report for 192.168.0.1
Host is up (0.0018s latency).
Not shown: 65527 open|filtered ports
PORT STATE SERVICE
67/udp closed dhcps
1017/udp closed unknown
1060/udp closed polestar
1061/udp closed kiosk
1062/udp closed veracity
1063/udp closed kyoceranetdev
1064/udp closed jstel
1900/udp closed upnp
17185/udp closed wdbrpc
MAC Address: 00:01:02:03:07:06 (Tp-link Technologies)
Nmap done: 1 IP address (1 host up) scanned in 153.28 seconds
Aqui nota-se que de todas as portas UDPs, apenas 9
responderam negativamente, isto é, estão abertas, tem um software
escutando nessas portas, mas cada um recusou a conexão do nmap.
Agora se é um dispositivo suspeito, coloque-o em uma rede
separada (VLAN por exemplo) e monitore/controle todo o tráfego
para o mesmo.
--
[]'s
Junior Polegato
Em 15/02/2021 13:01, luiz gil escreveu: