Sto eseguendo una scansione della porta su una gamma di IP sul nostro sito remoto. Ho provato a eseguire la scansione nmap su quell'intervallo IP e alcuni dei risultati IP sono mostrati come filtrati
Quando eseguo una scansione nessus sulla casella, non vi è alcun risultato per alcuni IP.
In quanto tale è sicuro assumere che non ci siano porte aperte su alcuni server remoti?
A meno che tu non abbia configurato nmap per non eseguire il discovery dell'host ( -PN o -PN --send-ip sulla LAN), se sta indicando che tutte le porte sono filtrate , allora l'host è < em> up , ma il firewall su quell'host sta facendo cadere il traffico su tutte le porte scansionate.
Si noti che una scansione nmap predefinita non controlla tutte le porte. Esamina solo 1000 porte TCP. Se vuoi controllare i servizi , ti consigliamo di controllare tutte le 65535 porte TCP e tutte le 65535 porte UDP.
Inoltre, per essere precisi, ma quando la scansione delle porte dice che una porta è filtrata , ciò non significa che non ci sia alcun servizio in esecuzione su quella porta. È possibile che il firewall dell'host abbia regole che negano l'accesso a l'IP da cui stai eseguendo la scansione , ma potrebbero esserci altri IP a cui è consentito accedere a quel servizio.
Se la scansione della porta segnala che una porta è chiusa , è più definitivo che non ci sia ascolto di servizi su quella porta.
Non posso commentare la mancanza di risultati da nessus, è da un po 'che non l'ho usato.
Esempio di closed vs. filtered vs. host-down
Ad esempio, sulla mia rete, questo host è attivo, non ha servizi in esecuzione e non ha un firewall, si noti che le porte sono segnalate come chiuse (questo significa che l'host ha risposto alle sonde su quella porta):
% sudo nmap -T4 -n 192.168.1.24
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 7.70 seconds
Questo host è attivo, non ha servizi in esecuzione sulle porte 100-1000 e ha un firewall. Tieni presente che le porte sono segnalate come filtrate (ciò significa che l'host ha interrotto le sonde su tali porte):
% sudo nmap -T4 -n -p 100-1000 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 20.03 seconds
Solo a scopo illustrativo, ho eseguito un buco temporaneo nel firewall per l'ultimo host per la porta 443 e rieseguito la scansione. (Non c'è niente in esecuzione su 443 lì.) Si noti come vengono segnalate 998 porte filtrate , ma la porta 443 è segnalata come chiusa ; il firewall consente il passaggio da 443 a e il sistema operativo risponde con un RST.
% sudo nmap -T4 -n 192.168.1.45
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 5.67 seconds
Non c'è nessun host a questo indirizzo ( host down ):
% sudo nmap -T4 -n 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds
se riesco a rieseguire la scansione con -PN --send-ip (quest'ultimo è necessario perché sto eseguendo la scansione della LAN e non voglio usare le sonde ARP), vedo:
% sudo nmap -T4 -n -PN --send-ip 192.168.1.199
Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered
Nmap done: 1 IP address (1 host up) scanned in 101.44 seconds
Il risultato nmap "filtrato" implica che (se sai che esiste un host con quell'indirizzo IP) l'accesso alla porta è stato bloccato da un firewall o simile, che sta facendo cadere il traffico. Questo è in contrasto con il risultato "chiuso" che indica che c'è un host su quell'IP ma che non esiste un servizio attivo che risponde alle sonde di nmaps.
Se tutte le porte su un host tornano come filtrate, non c'è nulla o c'è un firewall configurato per eliminare tutto il traffico diretto ad esso.
Leggi altre domande sui tag network-scanners vulnerability-scanners