nmap แยกแยะพอร์ตที่ปิดจากพอร์ตที่กรองอย่างไร

10

สมมติว่าเรากำลังสแกนการเชื่อมต่อ TCP

การสแกน nmap บน google จะส่งคืนผลลัพธ์ต่อไปนี้:

PORT STATE SERVICE

80 / tcp เปิด http

443 / tcp เปิด https

อย่างไรก็ตามหากฉันพยายามเปิดซ็อกเก็ตที่มี netcat หรือ telnet บน google.com บนพอร์ต 12 เช่น netcat หรือ telnet จะหยุดทำงานอย่างไม่มีกำหนด

Nmap ตรวจพบพอร์ต 12 (และพอร์ตอื่นที่ไม่ใช่ 80 หรือ 443) ว่าปิด แต่การเริ่มต้นการเชื่อมต่อ TCP กับพอร์ตนั้นจะไม่ปิดลงทันที

nmap จะรู้ได้อย่างไรว่าพอร์ตเหล่านั้นไม่ถูกกรอง แต่ถูกปิด?

monitoring tcp

— Intrepidd
แหล่งที่มา

ตามค่าเริ่มต้น (แม้ว่าจะมีอัลกอริทึมมากกว่านั้น) เอาต์พุตที่คุณจะได้รับจาก nmap เป็นเพียงพอร์ตที่เปิดไม่ใช่ตัวปิดหรือตัวกรอง nmap -p 12 www.google.com ปกติแล้วควรแสดงเป็นแบบกรอง

— nos

14

ด้วยการสแกน nmap คุณจะได้รับ 3 สถานะ:

คอมพิวเตอร์ระยะไกลแบบเปิดตอบกลับด้วย SYN / ACK ไปยัง SYN ของคุณ
ปิด - คอมพิวเตอร์ระยะไกลปฏิเสธการพยายามเชื่อมต่อของคุณด้วยแพ็กเก็ต RST
กรองแล้ว - ไม่มีสิ่งใดกลับมาเกิดการหมดเวลา

การเปิด netcat ไปที่พอร์ต 80 และการรอจะไม่ทำอะไรเลย พอร์ต 80 (ปกติ) หมายถึงเซิร์ฟเวอร์ http กำลังฟังในอีกด้านหนึ่งและกำลังรอคำสั่ง HTTP (จนกว่าจะหมดเวลาใช้งาน) หลังจาก netcatting ไปที่พอร์ต 80 ลอง sedinng a GET /เพื่อดูว่าคุณได้รับการตอบกลับหรือไม่ (อาจเป็นข้อผิดพลาด http)

— mulaz
แหล่งที่มา

8

พอร์ตปิดเป็นพอร์ตที่ไม่มีซอฟต์แวร์ใด ๆ คอยรับฟังดังนั้นความพยายามในการเชื่อมต่อกับพอร์ตนั้นบนระบบนั้นจะส่งผลให้ระบบส่งคืนแพ็กเก็ต TCP RST

พอร์ตที่ถูกกรองในทางกลับกันมักจะเป็นพอร์ตที่ถูกบล็อกโดยไฟร์วอลล์ในเส้นทางเครือข่ายดังนั้นความพยายามที่จะทำการเชื่อมต่อกับพอร์ตนั้นในระบบนั้นจะส่งผลให้ไม่มีอะไรกลับมาเลยแม้แต่น้อย TCP RST ... ดังนั้นความพยายามในการเชื่อมต่อจะอยู่ที่นั่นจนกว่า TCP จะหมดความพยายามในการเชื่อมต่อ

— Jeff McAdams
แหล่งที่มา

นี่เป็นเรื่องจริง แต่ไม่ตอบคำถามของฉัน เปิด netcat บน google.com ที่พอร์ต 42 คุณจะไม่ได้รับแพ็กเก็ต RST แต่ nmap จะทำเครื่องหมายพอร์ตนี้ว่าปิด

— Intrepidd

nmap ของฉันไปยัง google.com รวมถึงพอร์ต 42 จะส่งคืนเป็นกรองแล้วไม่ปิด

— Jeff McAdams

ฉันไม่ดีฉันคิดว่าพอร์ตทั้งหมดที่ไม่แสดงถูกปิด แต่ขึ้นอยู่กับผลลัพธ์ระดับโลก

— Intrepidd