Mam skanowanie do serwera, który powinien mieć dość prosty firewall przy użyciu iptables : domyślnie wszystko jest odrzucany poza RELATED
i ESTABLISHED
pakiety. Jedynym NEW
dozwolonym typem pakietów są pakiety TCP na portach 22 i 80 i to wszystko (bez HTTPS na tym serwerze).
Wynik nmap na pierwszych 2048 portach daje 22 i 80 tak otwarte, jak się spodziewam. Jednak niektóre porty są wyświetlane jako „filtrowane”.
Moje pytanie brzmi: dlaczego porty 21, 25 i 1863 są wyświetlane jako „filtrowane”, a pozostałe porty 2043 nie są wyświetlane jako filtrowane?
Spodziewałem się, że widzę tylko 22 i 80 jako „otwarte”.
Jeśli widzimy 21,25 i 1863 jako „filtrowane”, to dlaczego wszystkie inne porty też nie są wyświetlane jako „filtrowane” !?
Oto wyjście nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Naprawdę nie rozumiem, dlaczego mam 2043 zamkniętych portów:
Not shown: 2043 closed ports
a nie 2046 zamkniętych portów.
Oto lsof uruchomiony na serwerze:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(zwróć uwagę, że Java / Tomcat nasłuchuje na porcie 8009, ale ten port jest DROP-owany przez zaporę ogniową)
nmap
się dzieje, powinieneś skanować za pomocą uprawnień roota, skanów SYN (-sS
) i--packet-trace
. Poświęć również kilka minut i przeczytaj stronę podręcznika, zdziwiłbyś się, jakie są tam klejnotyOdpowiedzi:
Instrukcja „Filtrowany port” z nmap różni się w zależności od metody skanowania.
Skanowanie standardowe (skanowanie TCP w przypadku nieuprzywilejowanego użytkownika lub skanowanie w trybie półotwartym -sS w przypadku administratora) opiera się na protokole TCP. (o nazwie 3-drożny hanshake)
Klient (ty) wydaje SYN, jeśli serwer odpowiada SYN / ACK: oznacza to, że port jest otwarty !
Wydajesz SYN, jeśli serwer odpowiada RST: oznacza to, że port jest blisko !
Aby ustalić, jaki jest prawdziwy status portu, możesz:
Doskonała książka „ Nmap Network Discovery ”, napisana przez jej twórcę Fiodora, bardzo dobrze to wyjaśnia. Cytuję
źródło
Ponieważ u twojego dostawcy usług internetowych router, administrator sieci, wszystko między nimi lub ty sam je filtrujesz. Porty te mają dość złą historię, 1863 jest portem używanym przez protokół komunikatorów Microsoft (znany również jako MSN i przyjaciele), który, jak sądzę, mógł (lub nie) ustanowić określoną regułę. SMTP wydaje się, że to twój dostawca usług internetowych jest winowajcą, a FTP całkowicie mnie oszołomił, ponieważ nie mam pojęcia, co może się z nimi stać.
źródło
Domyślnie Nmap skanuje tylko 1000 najczęściej używanych portów dla każdego protokołu (tcp, udp). Jeśli twój port jest poza tym, to nie skanuje go, a zatem nie zgłosi tego. Możesz jednak określić porty, które chcesz skanować, z opcją -p.
źródło