Servizio in esecuzione su una porta chiusa?

1

Ho appena finito di scannerizzare un host e ho trovato qualcosa di insolito. La mia domanda riguarda le porte 50000 e 50002. Nmap mostra che queste porte sono chiuse e identifica anche i servizi in esecuzione su di esse! Com'è possibile? Non una porta chiusa significa che non c'è niente in esecuzione?

papagolf@Sierra:~$ nmap -v www.****.com
Host is up (0.28s latency).
rDNS record for 50.***.***.***: -----
Not shown: 987 filtered ports
PORT      STATE  SERVICE
21/tcp    open   ftp
22/tcp    open   ssh
80/tcp    open   http
443/tcp   open   https
50000/tcp closed ibm-db2
50001/tcp closed unknown
50002/tcp closed iiimsf
50003/tcp closed unknown
50300/tcp closed unknown
50389/tcp closed unknown
50500/tcp closed unknown
50636/tcp closed unknown
50800/tcp closed unknown
    
posta 7_R3X 24.06.2017 - 09:12
fonte

2 risposte

3

Dalla documentazione di nmap qui: link

A closed port is accessible (it receives and responds to Nmap probe packets), but there is no application listening on it.

Ciò significa che l'host ha risposto (molto probabilmente con un RST) al pacchetto SYN inviato da Nmap. Non ho visto alcun riferimento esplicito a questo nello standard ( RFC 793 ), ma questa è la spiegazione più ragionevole che mi viene in mente Sarebbe normale che Nmap interpreti questo come una porta chiusa, tuttavia, usarlo per "fare una nota" che hey ci sia un host su questo indirizzo IP; e persino provare a utilizzare le possibili variazioni nelle risposte alle impronte digitali del sistema operativo.

Sì, come già accennato da @schroeder, l'etichetta della porta è semplicemente da una tabella di riferimento interna, non da una vera e propria impronta digitale.

    
risposta data 24.06.2017 - 16:10
fonte
1

Una porta chiusa significa che nmap ha ricevuto o un RST (per tcp) o un codice 3 di tipo icmp 3 (per udp). Ad ogni porta è assegnato un servizio ben noto, per lo più basato su iana. vedi link .

    
risposta data 24.06.2017 - 18:03
fonte

Leggi altre domande sui tag