Come può un computer trovato su traceroute mostrare tutte le porte chiuse?

Naviga le tue risposte
1

Ho eseguito un traceroute su un sito Web a cui mi sto collegando e ho ottenuto il seguente output: 

1  skyrouter (192.168.0.1)  3.989 ms  1.389 ms  1.916 ms
 2  * * *
 3  be397.pr2.thlon.isp.sky.com (2.120.11.8)  31.564 ms  40.750 ms  28.794 ms
 4  ae-3.r02.londen03.uk.bb.gin.ntt.net (83.231.221.45)  26.772 ms  27.799 ms  27.415 ms
 5  ae-3.r24.londen12.uk.bb.gin.ntt.net (129.250.4.23)  33.121 ms  27.261 ms  28.305 ms
 6  ae-6.r24.frnkge08.de.bb.gin.ntt.net (129.250.3.13)  37.456 ms  41.661 ms  59.803 ms
 7  ae-2.r02.frnkge04.de.bb.gin.ntt.net (129.250.5.53)  37.220 ms  41.979 ms  39.719 ms
 8  ve16-xe1-3-rt1-muc2.premium-datacenter.de (213.198.81.142)  42.982 ms  41.741 ms  40.887 ms
 9  104.28.20.80 (104.28.20.80)  41.024 ms  39.590 ms  38.321 ms

Ho inserito il computer sul secondo hop e ho ottenuto questo: 

Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-18 15:14 GMT
Nmap scan report for ae-3.r02.londen03.uk.bb.gin.ntt.net (83.231.221.45)
Host is up (0.027s latency).
All 1000 scanned ports on ae-3.r02.londen03.uk.bb.gin.ntt.net (83.231.221.45) are closed

Nmap done: 1 IP address (1 host up) scanned in 28.04 seconds

Scusa se questa è una domanda di base, ma sicuramente se riesco a fare un salto su un computer almeno una porta dovrebbe essere rilevabile? Se lo è, quale metodologia alternativa posso usare per scoprire cosa sia realmente la porta aperta che sta comunicando.

    
posta Peter David Carter 18.11.2017 - 16:18
fonte

2 risposte

4

Per quanto riguarda i risultati Nmap, ho tre osservazioni:

  • hai scansionato solo 1000 da 65000 porte disponibili (130000ish quando aggiungi TCP e UDP insieme)
  • potresti non essere autorizzato ad accedere a qualsiasi porta su quel router. I cosiddetti ACL, gli elenchi di controllo degli accessi, controllano quale origine potrebbe avere accesso a una porta o meno se è aperta o chiusa.
  • potrebbe non esserci nessuna porta aperta. I router sono dispositivi IP ( livello 3 ), spesso incorporati e costruiti esclusivamente per scopi di routing. Le porte invece sono su TCP e UDP, che sono livello 4 .

Per quanto riguarda la tua domanda di follow-up di "Posso rintracciarla, deve esserci una porta":

Il routing di traccia è l'invio di un pacchetto all'host di destinazione finale più e più volte, iniziando con un TTL (time to live) di 1 e aumentando tale TTL.

Le specifiche dell'IP dicono che un router dovrebbe informare il mittente se invece di instradare ulteriormente il pacchetto, è stato eliminato a causa di un TTL di 0. (i router devono ridurre il TTL su ogni salto per il numero di secondi in cui li hanno portati a processo, almeno 1.) Questo viene fatto sotto forma di un pacchetto ICMP inviato dal router alla macchina e acquisito e correlato al pacchetto inviato.

Quindi, per essere in grado di tracciare il percorso del router, non è necessaria una porta aperta. Poiché invia messaggi ICMP, dovrebbe comunque rispondere a una richiesta echo ICMP e nmap ti sta dicendo correttamente (con "1 host up").

    
risposta data 18.11.2017 - 18:24
fonte
0

Il firewall può essere configurato solo per consentire il traffico verso / da determinati host su determinate porte. Ad esempio, quando configuro il firewall locale sui dispositivi che gestisco, il caso d'uso è di non consentire la navigazione sul Web e tuttavia di consentire il traffico della porta 80 verso determinati posti interni. Consentire quindi la porta 80 a un elenco definito di indirizzi IP e bloccare tutti gli altri. Autorizzo anche il traffico in entrata da fonti conosciute, quindi, a tutti gli effetti, altri dispositivi non lo vedrebbero disponibile.

Se gestissi dispositivi di routing intermedi come questi, vorrei essere sicuro che non si stiano sommergendo di traffico che non dovrebbero gestire.

    
risposta data 18.11.2017 - 16:46
fonte

Leggi altre domande sui tag

Leggi tutta la password git cache Perché utilizzare HTTPS Everywhere invece di visitare direttamente il sito HTTPS?