W jaki sposób nmap odróżnia porty zamknięte od portów filtrowanych

Załóżmy, że wykonujemy skanowanie połączenia TCP.

skan nmap w google zwraca następujące dane wyjściowe:

USŁUGA PAŃSTWA PORTU

80 / tcp otwórz http

443 / tcp otwórz https

Jeśli jednak spróbuję otworzyć gniazdo za pomocą netcat lub telnet na google.com na porcie 12, na przykład, netcat lub telnet zawiesza się bez końca.

Nmap wykrywa port 12 (i inne porty inne niż 80 lub 443) jako zamknięte, ale nawiązanie z nimi połączenia TCP nie zamyka się natychmiast.

Skąd nmap może wiedzieć, że te porty nie są filtrowane, ale zamknięte?

Przy skanowaniu nmap zwykle otrzymujesz 3 stany:

• Otwarty - komputer zdalny odpowiedział SYN / ACK na SYN
• Zamknięty - komputer zdalny odrzucił próbę połączenia z pakietem RST
• Filtrowano - nic nie wróciło, upłynął limit czasu

Otwarcie netcata do portu 80 i oczekiwanie nic nie da. Port 80 (zwykle) oznacza, że ​​serwer HTTP nasłuchuje po drugiej stronie i czeka na polecenie HTTP (aż do upłynięcia limitu czasu). Po netcatting do portu 80, spróbuj sedinng a, GET /aby zobaczyć, czy otrzymasz odpowiedź (prawdopodobnie błąd http).

Port zamknięty to port, w którym nie nasłuchuje żadne oprogramowanie, więc próba nawiązania połączenia z tym portem w tym systemie spowoduje odesłanie przez pakiet pakietu TCP RST.

Z drugiej strony filtrowany port to zazwyczaj port, który jest blokowany przez zaporę na ścieżce sieci, więc próba nawiązania połączenia z tym portem w tym systemie spowoduje, że nic nie wróci ... nawet TCP RST ... więc próba połączenia będzie tam czekać, aż TCP przekroczy limit czasu próby połączenia.