NMAP - Chiuso vs Filtrato

Question

NMAP - Chiuso vs Filtrato

#1 da (5 voti)

3

Molte persone sembrano porre questa domanda, dato che ci sono un sacco di post su di esso; comunque mi sento come se nessuno rispondesse veramente alla domanda (che ho trovato).

Voglio capire perché NMAP decide di dirmi che una porta specifica è "FILTRATA" quando ci sono tecnicamente oltre 60.000 porte "filtrate".

Per amore di questo esempio ...

Il mio host (192.168.1.100) sta ascoltando sulle porte TCP 80, 443 e 3389

Il mio firewall consente solo TCP 80, 443, 135 e 445 (non 3389)

192.168.1.100   80      open
192.168.1.100   135     closed
192.168.1.100   443     open
192.168.1.100   445     closed
192.168.1.100   3389    filtered

Poiché il mio ospite non sta ascoltando su TCP 135 e 445, risponde con un RST TCP, e quindi è "chiuso"
Poiché il mio firewall non consente TCP 3389, è tecnicamente filtrato

Tuttavia, questo è quello che non ottengo. Le porte TCP 21, 22, 23, 24, 25, 26, ecc. Sono TUTTE filtrate dal firewall (cioè non permesse), ma NMAP mi dice solo che questa particolare porta (3389) viene filtrata.

Perché ?! Non dovrebbe essere una lista gigantesca come:

192.168.1.100   1       filtered
192.168.1.100   2       filtered
192.168.1.100   3       filtered
192.168.1.100   4       filtered
192.168.1.100   5       filtered
    ...        ...        ...
192.168.1.100   76      filtered
192.168.1.100   77      filtered
192.168.1.100   78      filtered
192.168.1.100   79      filtered
192.168.1.100   80      open
    ...        ...        ...
192.168.1.100   131     filtered
192.168.1.100   132     filtered
192.168.1.100   133     filtered
192.168.1.100   134     filtered
192.168.1.100   135     closed
etc...

tcp network firewalls nmap network-scanners

posta Ryan B 28.03.2018 - 22:10

fonte

1 risposta

Leggi altre domande sui tag tcp network firewalls nmap network-scanners

Comunicazione sicura tra client C # e server Java, utilizzando i certificati Può controllare le intestazioni HTTP protette contro CSRF? [duplicare]

score 5 · Answer 1

Questo dipende in gran parte dalla scansione utilizzata e la pagina dei tipi di scansione nmap spiega lo stato della porta e le ragioni per scansione.

Alcuni esempi:

TCP SYN Scan (-sS)


 - Sends a TCP packet with SYN flag set
 - If a SYN/ACK (or SYN) is received --> Port is Open, TCP initiation accepted
 - If a RST is received --> Port is closed
 - If no response is received --> Port is considered filtered
 - If a ICMP Unreachable is received --> Port is considered filtered

Scansioni UDP (-sU)


 - Nmap sends a UDP Packet to the specified ports
 - If an ICMP Port Unreachable comes back --> Port is closed
 - Other ICMP Unreachable errors --> Port is filtered
 - Server responds with UDP packet --> Port is opened
 - No response after retransmission --> Port is Open|Filtered

E un esempio di "contrasto" che potrebbe produrre risultati diversi da -sS:

Scansione ACK TCP (-sA)

This scan nevers determines OPEN or OPEN|Filtered:

 - A packet is sent with only the ACK flag
 - If a System is unfiltered, both Open and Closed ports will both return RST flagged packets
 - Ports that don't respond, or send ICMP Errors are labeled Filtered.

Fondamentalmente, i risultati saranno influenzati dai tipi di scansione e dalle opzioni extra che aggiungi. È importante capire in che modo i diversi tipi di scansione NMAP funzionano a un livello superiore per eseguire una scansione valida e conclusiva.

Potrebbero essere necessarie più opzioni per ottenere una visualizzazione corretta delle regole del firewall.

Inoltre, il flag --reason potrebbe darti ulteriori informazioni sul motivo per cui una porta viene mostrata in modo diverso da come ti aspetti.