Perché alcune porte sono segnalate come chiuse da nmap?

5

Stavo effettuando la scansione di una macchina dalla stessa LAN in esecuzione e aggiornata a Windows XP Home Edition, che sospetto possa causare malware.

La macchina di destinazione ha un antivirus aggiornato in esecuzione (AVG gratuito), ma non ha altri firewall rispetto a quello fornito da Windows, che fornisce un'opzione per configurare i processi consentiti o limitati per aprire le connessioni ma non fornisce alcuna opzione per configurare porte specifiche aperte / chiuse.

Uno dei comandi di scansione utilizzati è questo:

nmap -p 1-65535 -v hostname

E questo fa parte dell'output:

Not shown: 65528 filtered ports
PORT      STATE  SERVICE
139/tcp   open   netbios-ssn
445/tcp   open   microsoft-ds
2869/tcp  closed icslap
4041/tcp  closed unknown
12216/tcp closed unknown
16881/tcp closed unknown
23590/tcp closed unknown

Ho cercato su Google e ho letto a fondo le differenze chiuse / filtrate (e penso di averlo capito) ma, dato che non ci sono firewall configurati per bloccare queste porte tra me e l'altra macchina, al suo interno, questo mi confonde molto.

Quindi qualcuno ha qualche idea su cosa potrebbe causare che queste 5 porte apparentemente casuali appaiano chiuse mentre l'altra 65528 appare come filtrata?

    
posta Carles Sala 04.06.2013 - 21:36
fonte

1 risposta

5

Di solito il motivo per cui una porta apparirà chiusa è che non ci sono servizi in ascolto su di essa ma il firewall non sta filtrando l'accesso alla porta.

Nel tuo caso questo potrebbe essere dovuto al fatto che un pezzo di software ha richiesto ad un certo punto che queste porte siano aperte e che ora non le usino più?

Se vuoi cambiarlo ti suggerisco di guardare le regole del firewall di Windows XP (istruzioni qui ) e rimuovendo eventuali eccezioni che non ritieni necessarie. Dopodiché dovresti vedere le cose come filtrate.

    
risposta data 05.06.2013 - 10:01
fonte

Leggi altre domande sui tag