La singola porta di scansione Nmap è troppo veloce? Mostra come filtrato?

0

Ho riscontrato un problema durante il tentativo di scansionare una singola porta su una singola macchina. Ho eseguito una scansione di intervallo per trovare le macchine con la porta 25 aperta. Quindi ho scelto arbitrariamente uno su cui lavorare. Eseguo la scansione di quella macchina con la porta 25 e all'improvviso mostra filtered anziché open .

Inizio ad armeggiare per vedere se posso provare a risolvere questo problema. Per prima cosa provo a eseguire nuovamente la stessa scansione per vedere se forse ho ottenuto l'IP sbagliato. Stesso elenco, ma ho scelto il prossimo risultato. Prova il nuovo IP con la porta 25, mostra filtered .

Ora sto cercando di capire come posso farlo mostrare open su quell'unico IP. Eseguo la scansione dello stesso IP singolo senza alcuna porta specificata e la porta 25, insieme ad altri, mostra come open . Analizza lo stesso IP con la sola porta 25 e dice filtered . Aggiungo un'altra porta dalla scansione precedente e la porta 25 e l'altra porta mostrano open .

Mi confonde perché l'esecuzione di nmap -p 25 [IP] mi dà 25/tcp filtered smtp , ma eseguire lo stesso comando con almeno due porte mi dà un risultato positivo.

Mi manca qualcosa? Qualcuno può spiegare cosa sto facendo male?

Ho scritto nel titolo che forse la scansione era troppo veloce, perché avevo già provato il flag -T.

I comandi che ho usato nel processo di risoluzione dei problemi e il loro risultato:

nmap 10.11.1.227
...
PORT     STATE SERVICE
21/tcp   open  ftp
25/tcp   open  smtp
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
1026/tcp open  LSA-or-nterm
1028/tcp open  unknown
3372/tcp open  msdtc
5800/tcp open  vnc-http
5900/tcp open  vnc

Ho provato una porta con script (che non ha funzionato, quindi ho provato una porta senza script):

nmap -p 25 10.11.1.227
...
PORT   STATE    SERVICE
25/tcp filtered smtp

Ho provato due porte che so essere aperte:

nmap -p 25,5900 10.11.1.227
...
PORT     STATE SERVICE
25/tcp   open  smtp  
5900/tcp open  vnc

A quel punto penso se sondare una porta sia troppo veloce e decidere di provare -T4, poi -T3 e infine:

nmap -p 25 -T2 10.11.1.227

Mi dà un risultato positivo. Quindi il problema è stato risolto correttamente? Non nella mia testa. Voglio sapere se sto facendo qualcosa di sbagliato, o se questo è inevitabile, e devo solo accettare la soluzione così com'è. E se questo è il caso, e qualcuno sa perché, vorrei anche sapere perché è così.

    
posta Shelby M. 06.10.2018 - 06:30
fonte

3 risposte

1

Sembra davvero un problema di temporizzazione. nmap potrebbe scadere nella scansione singola e riportare i risultati come filtered . Con le altre porte o sistemi inclusi nella scansione, il timeout potrebbe essere diverso.

Per scoprire cosa sta succedendo, dovrai eseguire un'acquisizione di pacchetti. Wireshark è lo strumento di fatto per questo. Esegui nmap -p 25 10.11.1.227 e acquisisci i risultati, quindi esegui nmap -p 25,5900 10.11.1.227 e acquisisci i risultati. Confronta le differenze. Le probabilità sono che le differenze siano ovvie.

In generale, quando accadono cose del genere, vai sempre sulle tracce del pacchetto per vedere cosa sta succedendo. Imparerai molto.

    
risposta data 06.10.2018 - 16:02
fonte
-1

Filtrato significa che la porta è protetta da un firewall installato dalla società. Non puoi inviare o ricevere alcuna informazione attraverso quella porta poiché sei un estraneo. Fai qualche ricerca sul filtraggio delle porte. Questa è in realtà un'azione di sicurezza per evitare l'accesso non autorizzato alla propria rete aziendale. È possibile eludere il firewall con questi comandi in nmap. Buona fortuna

link (vedi la sezione sull'evasione del firewall in fondo)

link

    
risposta data 06.10.2018 - 07:31
fonte
-1

Usa -Pn

-Pn: Treat all hosts as online -- skip host discovery

nmap -Pn -p 25 [IP address]

Allo stesso modo, -T<0-5> ti consente di impostare i tempi.

-T<0-5>: Set timing template (higher is faster)

nmap -T4 -p 25 [IP address]

Nmap ha una guida di riferimento Tempi e prestazioni .

Vedi, Perché ci sono alcune porte segnalate da nmap filtrate e non le altre?

    
risposta data 06.10.2018 - 12:01
fonte

Leggi altre domande sui tag