Nmap filtrata o chiusa

2

Quando eseguo la scansione di un host (A) sulla mia rete locale con nmap da un altro computer (B) sulla stessa sottorete mostra tutte le 1000 porte chiuse. Quando eseguo la scansione dell'altro computer (B) con nmap dal computer (A), vengono visualizzate 999 porte filtrate e una porta chiusa. Entrambi i computer eseguono lo stesso sistema operativo e sono collegati da cavi Lan a un router wireless. Perché uno dovrebbe mostrare per lo più porte filtrate e le altre porte per lo più chiuse e quale sarebbe il caso peggiore dei due?

Ho usato il comando "nmap 192.168.1.X" su entrambe le macchine per scansionare l'altra macchina. Perché il comportamento diverso?

    
posta Joe 19.12.2016 - 09:03
fonte

3 risposte

4

Why would one show mostly filtered ports and the other mostly closed ports and which would be the worse case of the two?

Supponendo che si stia descrivendo una scansione TCP (completa o SYN), la differenza ha a che fare con il modo in cui i diversi host gestiscono pacchetti indesiderati. Closed vs. Filtered non rappresenta molta differenza in termini di sicurezza; in entrambi i casi, il traffico non è permesso. È come non è permesso fare la differenza.

Un rapido innesco - per configurare una connessione TCP, Client e Server scambiano tre pacchetti, il cosiddetto "Handshake TCP a 3 vie":

Client -> Server: SYN       ("Can you hear me?")
Server -> Client: SYN/ACK   ("Yes, I can hear you.  Can you hear me?")
Client -> Server: ACK       ("Yes!  Let's get talkin'!")

Nmap utilizza questo scambio in due modi fondamentali:

In una scansione SYN nmap (-sS), nmap invia un SYN e attende un SYN / ACK indietro. Se ne ottiene uno, invece di inviare ACK, invia un RST per reimpostare la connessione invece di inviare un ACK per finire di inchiodarlo. Questo ha il vantaggio che la scansione tocca solo il sistema operativo, non il livello dell'applicazione; dal momento che il sistema operativo non comunicherà le applicazioni relative a una connessione finché non sarà attivo e funzionante, le applicazioni non registreranno le connessioni effettuate dallo scanner.

In una scansione TCP nmap (-sT), nmap invia un SYN, attende un SYN / ACK e quindi invia un ACK per terminare la connessione. Questa è una scansione "più sicura" in quanto dimostra che è possibile la piena connettività, ma è più rumoroso nei log.

La cosa in comune, qui, è che nmap attende SYN / ACK per determinare se la porta è aperta. Ma ci sono tre possibili "risposte", a seconda di come è configurato il target:

Server -> Client: SYN/ACK   ("Port is open, application is listening")

o

Server -> Client: RST       ("Port is closed, server told the client so")

o

Server -> Client: (nothing) ("Port doesn't seem to respond, but not sure why")

Ora, gli ultimi due stati rappresentano diverse configurazioni del firewall. Un firewall configurato per il traffico blocco risponderà con un RST, fornendo a nmap un chiaro segnale che la porta non è disponibile. D'altra parte, un firewall configurato per il traffico silenzioso non risponde affatto. Nmap disegna qui un'inferenza negativa e presuppone che l'accesso alla porta venga filtrato da un firewall.

Ed è per questo che vedi chiuso su un sistema e filtrato sull'altro. Nel primo caso, l'host o il firewall sta restituendo RST per bloccare i pacchetti indesiderati, il che fornisce a nmap un segnale inequivocabile che la porta è chiusa. Nell'altro, il firewall fa cadere silenziosamente i pacchetti piuttosto che rifiutarli rumorosamente e nmap può solo dedurre che le porte siano chiuse.

In termini di sicurezza, non c'è alcuna differenza reale. In entrambi i casi i tuoi pacchetti non raggiungono il server. In alcuni casi un utente malintenzionato può trarre conclusioni sulla posizione e sui problemi di sicurezza dal modo e dai luoghi in cui si applica il blocco o il filtro, ma si tratta di un aspetto sottile della ricognizione e molto meno importante del blocco del traffico che non si desidera.

C'è una avvertenza importante che è necessario avere durante la scansione. Se una destinazione è configurata per bloccare le connessioni e inviarti un RST per ogni tentativo, allora gli scanner potrebbero interpretare la non risposta come una porta aperta, piuttosto che una porta filtrata. Lo scanner dice "Hmm, 65534 porte hanno risposto con un RST, ma 1 porta no, quella porta deve essere aperta!" Ma se c'è una perdita di pacchetti - che può accadere durante la scansione su Internet, o anche la scansione localmente con un profilo di scansione sufficientemente aggressivo (pacchetti veloci) - allora quel RST mancante potrebbe essere un pacchetto perso piuttosto che qualsiasi indicazione di quale filtro sia o sia non sul posto. È buona norma verificare manualmente le porte aperte dopo la scansione, soprattutto se si visualizzano porte aperte che non hanno alcun senso (ad esempio, porte molto alte).

When I scan the other computer(B) with nmap from computer(A) it shows 999 ports filtered and one closed port.

Capire come funzionano le scansioni, come sopra, può permetterci di interpretare i risultati in modo più chiaro. Quello che inferirei da questi risultati è che 999 porte vengono silenziate silenziosamente dal firewall, ma quella porta è consentita attraverso il computer (B) dal firewall e che quella porta è effettivamente chiusa (non in ascolto) sul ospite. Quindi, se il firewall è configurato per abbandonare silenziosamente, l'host effettivo risponderà con un RST come dovrebbe.

    
risposta data 19.12.2016 - 17:20
fonte
1

Dovrò indovinare perché il tuo post non contiene dettagli sul target, sulla modalità di scansione utilizzata o sulla sofisticazione della rete, ma sembra che una parte attiva della tua rete interferisca con la scansione.

Ho un router Sitecom economico da alcuni anni fa e ha una funzione specifica per bloccare azioni comuni come scansioni NMAP e ping della morte.

    
risposta data 19.12.2016 - 09:20
fonte
0

Non penso che il router interferisca con il risultato della scansione - se si tratta di un router che ha una sorta di rilevamento delle intrusioni e blocca il traffico, dovrebbe farlo in entrambe le direzioni. La mia ipotesi è che le configurazioni del firewall sulle macchine stesse siano diverse.

    
risposta data 19.12.2016 - 15:53
fonte

Leggi altre domande sui tag