Un modo per aggirare una risposta 'filtrata' su NMap?

2

So che una risposta filtrata su NMap significa che il firewall ha abbandonato i pacchetti o che NMap non ha ricevuto risposta, ma esiste un modo per aggirare questo problema?

È possibile che il firewall stia semplicemente eliminando il tipo di pacchetti ping di NMap ma risponderà a una normale connessione in telnet o in un browser web?

Ho cercato molto, ma non sono riuscito a trovare alcuna informazione specifica su questo (Forse stavo usando le parole chiave sbagliate? Non sono sicuro)

Grazie!

    
posta cybersec 22.05.2015 - 03:15
fonte

2 risposte

3

La visualizzazione di uno stato "filtrato" per una porta non ha nulla a che fare con un "ping" o un tentativo di sfruttamento. Il traffico di Nmap non è generalmente strumentale. Un firewall adattativo potrebbe rilevare la scansione SYN semiaperta di default (con privilegi) dopo che ha rilevato una porta aperta, oppure potrebbe rilevare nessuno dei tipi di scansione in base al numero di porte chiuse che tenta di connettersi a. Ma la maggior parte dei firewall non lo farà.

Usando l'opzione --reason , puoi vedere il tipo di risposta che ha causato la porta di una porta nello stato in cui si trova. Il più delle volte, "filtrato" significa che tutte le sonde su quella porta sono scadute e non è stata vista alcuna risposta. A volte, tuttavia, può essere dovuto al fatto che è stato ricevuto un messaggio ICMP Amministrativamente vietato. Questa è una buona indicazione che è presente un firewall più intelligente.

Nel caso più comune, tuttavia, una porta filtrata significa semplicemente che un firewall statico (cioè non adattivo) è stato configurato per rilasciare le connessioni a quella porta. In questo caso, qualsiasi connessione in entrata, sia essa Nmap o telnet o un browser, verrà eliminata.

    
risposta data 22.05.2015 - 03:53
fonte
2

Il metodo di scansione standard ( TCP SYN ) utilizzato da nmap per le scansioni TCP consiste nell'avviare una connessione, quindi abbandonarlo a metà. Individualmente, queste connessioni sono indistinguibili da una connessione ordinaria. Collettivamente, possono essere identificati a causa di quanti di essi ci sono, ma ci vuole un po 'prima che le prove si accumulino e il firewall decida di bloccare tutte le connessioni da un determinato indirizzo. Questo in genere si presenta quando le porte iniziali della scansione sono "aperte" o "chiuse", mentre le porte successive sono "filtrate".

Questo può essere aggirato in tre modi: in primo luogo, riducendo la frequenza con cui le porte vengono sondate ( -T0 effettua una sonda ogni cinque minuti), in secondo luogo, limitando il numero di sonde (se ti interessa solo controllando per un server web, ad esempio, è possibile sondare solo le porte 80 e 443), e in terzo luogo, sondando da molti indirizzi diversi in modo che nessun indirizzo superi la soglia del firewall per il blocco.

    
risposta data 22.05.2015 - 03:47
fonte

Leggi altre domande sui tag