Se nmap segnala che una porta è aperta, vuol dire ANCHE che un servizio è in ascolto sulla porta?

Naviga le tue risposte
4

Ho un router / firewall Thompson TG585v7 il cui firewall è configurato su FORWARD diverse porte su un computer X54 all'interno della LAN.

Queste porte sono nell'intervallo 1024 through to 2500

Quel X54 computer è ora sparito e quindi non c'è nulla di "ascolto" su quelle porte di destinazione finali

Se utilizzo l'IP pubblico dei firewall utilizzando 

nmap -A -p 1000-2500 219.xxx.xxx.xxx

Output 

$ sudo nmap -A -p 1000-2500 219.xxx.xxx.xxx

Starting Nmap 6.40 ( http://nmap.org ) at 2015-02-21 13:14 NZDT
Nmap scan report for dsldevice.lan (219.xxx.xxx.xxx)
Host is up (0.011s latency).
Not shown: 1500 filtered ports
PORT     STATE SERVICE VERSION
1723/tcp open  pptp    THOMSON (Firmware: 1)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: broadband router
Running: Thomson embedded
OS CPE: cpe:/h:thomson:st_585 cpe:/h:thomson:st_536i
OS details: Thomson ST 585 or ST 536i ADSL modem
Network Distance: 1 hop
Service Info: Host: SpeedTouch

Segnala altri pienamente funzionanti - in questo caso 1723 - porte che sono aperte e hanno un servizio in ascolto, ma non mostrano queste porte che vengono inoltrate a una macchina inesistente.

Quindi la mia domanda è, se nmap segnala che una porta è "aperta", vuol dire che entrambi il seguente è vero?

  1. il firewall accetta le connessioni sulla porta specificata
  2. c'è un ascolto di machine / service dall'altra parte
posta Michael Coleman 21.02.2015 - 00:46
fonte

2 risposte

5

Per una scansione SYN del tipo che stai eseguendo, nmap definisce una porta TCP "aperta" come quella in cui un pacchetto SYN inviato da nmap provoca un pacchetto ACK dal sistema di destinazione. Supponendo che il firewall sia configurato in modo ragionevole e che lo stack TCP / IP sia programmato correttamente, una porta "aperta" significa che sì,

  1. il firewall consente le connessioni sulla porta specificata
  2. c'è una macchina che ascolta dall'altra parte

e inoltre

  1. c'è un software all'altro ascolto dei dati inviati a quella porta.

Se si desidera un grado maggiore di certezza, avere nmap eseguire una scansione "connect" ( -sT ). Questa è una tecnica più lenta che stabilisce una connessione TCP completa con il target, al contrario della connessione "a metà strada" di una scansione SYN . Se una scansione "connetti" dice che la porta è aperta, è aperta in qualsiasi senso significativo della parola.

    
risposta data 21.02.2015 - 01:49
fonte
1

  1. Sì. Sebbene ci siano situazioni in cui una porta apparentemente aperta non può significare che puoi comunicare con essa in modo significativo.

  2. Non necessariamente, come hai appena detto, il firewall è in attesa di inoltrare quelle porte. A meno che tu non abbia cambiato il firewall per non aspettare più i dati in avanti, non chiuderà le porte. Dovresti vedere gli errori da questo nei tuoi log del firewall.

Hai fatto l'enumerazione dei servizi? Dovrebbe essere che NMAP possa solo indovinare ciò che è presente sulle porte in base ai numeri di porta stessi. Guarda esattamente che nmap è stato in grado di trovare, rispetto a ciò a cui stava indovinando. Esegui NMAP con un livello di verbosità più alto.

Probabilmente dovresti chiudere quelle porte.

    
risposta data 21.02.2015 - 01:02
fonte

Leggi altre domande sui tag

Un computer insicuro sulla rete wireless domestica minaccia altre macchine? Connessione https non sicura a domini di aziende rispettabili?