มีวิธีดูสิ่งที่กรองการสื่อสารพอร์ต TCP จริง ๆ ?


10
nmap -p 7000-7020 10.1.1.1

จะส่งออกพอร์ตที่กรองทั้งหมด

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

มีวิธีใดบ้างที่ฉันจะเห็นว่ากำลังกรองพอร์ตเหล่านั้นหรือไม่

คำตอบ:


11

นี่คือสิ่งที่เอกสาร nmap พูดเกี่ยวกับfilteredรัฐ

Nmap ที่กรองแล้วไม่สามารถระบุได้ว่าพอร์ตเปิดอยู่หรือไม่เนื่องจากการกรองแพ็คเก็ตทำให้ไม่สามารถตรวจสอบโพรบได้ถึงพอร์ต การกรองอาจมาจากอุปกรณ์ไฟร์วอลล์เฉพาะกฎเราเตอร์หรือซอฟต์แวร์ไฟร์วอลล์ที่ใช้โฮสต์ ...

วิธีเดียวที่จะค้นหาสิ่งที่กำลังทำตัวกรองคือการรู้ว่า 'เครื่อง' อยู่ระหว่างคุณและเป้าหมายระยะไกล

สิ่งนี้สามารถทำได้โดยใช้ยูทิลิตี้การติดตามเส้นทางซึ่งพยายามกำหนดโฮสต์ระหว่างคุณและเป้าหมายโดยใช้แพ็กเก็ต TCP พิเศษ ในกรณีของคุณคำสั่งอาจมีลักษณะดังนี้:

traceroute 10.1.1.1

เมื่อคุณรู้จักเครื่องระหว่างคุณกับเป้าหมายแล้วคุณจะตรวจสอบการกำหนดค่าของแต่ละเครื่องเพื่อดูว่าเป็นตัวกรองหรือไม่และเป็นอย่างไร


ไม่มีไฟร์วอลล์ซอฟต์แวร์ที่ใช้งานอยู่ในทั้งสองเครื่องnmap -p 7000-7020 localhostแสดงพอร์ตที่เปิดและไฟร์วอลล์ที่อุทิศจะถูกเปิด
Eduard Florinescu

4
หลักฐานที่คุณแสดงให้เห็นว่ามีบางอย่างกำลังกรองเราไม่สามารถรู้ได้ว่าอะไรคือสิ่งที่เราไม่ทราบว่าคุณ config ไฟร์วอลล์ที่ใช้โฮสต์มักจะอนุญาตการรับส่งข้อมูลทั้งหมดบนอินเทอร์เฟซวนรอบ (โลคอลโฮสต์) ดังนั้นจึงเป็นการทดสอบที่อาจทำให้เข้าใจผิด
user9517

มีโอกาสที่คุณใช้ linux กับ iptables "-j DROP" หรือไม่? เอกสาร nmap ใดที่อ้างถึงเป็นตัวกรองจริง ๆ แล้วเป็นแพ็กเก็ตที่ถูกปล่อยบนโปรโตคอลใด ๆ
risyasin

ซอฟต์แวร์นี้เชื่อมโยงกับ IP ภายนอกจริงหรือไม่ ถ้ามันถูกผูกไว้กับ 127.0.0.1 แทนมันอาจทำให้เกิดสิ่งนี้ ตรวจสอบ netstat
devicenull

12

Nmap มีหลายวิธีในการรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่ทำให้เกิดการกรอง:

  • --reasonตัวเลือกที่จะแสดงประเภทของการตอบสนองที่ทำให้เกิด "กรอง" รัฐพอร์ต นี่อาจเป็น "ไม่ตอบสนอง" หรือ "ต้องห้ามผู้ดูแลระบบ" หรืออย่างอื่น
  • TTL ของแพ็กเก็ตการตอบสนองถูกรายงานในเอาต์พุต XML เป็นreason_ttlแอ็ตทริบิวต์ของstateองค์ประกอบสำหรับพอร์ต หาก TTL สำหรับพอร์ตที่กรองแตกต่างจาก (โดยปกติจะมากกว่า) TTL สำหรับพอร์ตที่เปิดดังนั้นความแตกต่างระหว่าง TTLs คือระยะทางเครือข่ายระหว่างเป้าหมายและอุปกรณ์กรอง มีข้อยกเว้นเช่นเป้าหมายที่ใช้ TTL เริ่มต้นที่แตกต่างกันสำหรับ ICMP กับแพ็คเก็ต TCP หรืออุปกรณ์การกรองที่ปลอมแปลงหรือเขียนทับข้อมูล TTL
  • --tracerouteฟังก์ชั่นจะแสดงข้อมูลเกี่ยวกับกระโดดตามเส้นทางของคุณใด ๆ ซึ่งอาจจะกรองการเข้าชม ในบางกรณีชื่อ DNS ย้อนกลับของหนึ่งในฮ็อปจะมีลักษณะคล้ายกับ "firewall1.example.com"
  • firewalkสคริปต์ NSE จะส่งแพ็กเก็ตกับ TTLs เริ่มต้นที่จะหมดเวลาที่ฮ็อพที่แตกต่างกันไปตามเส้นทางในความพยายามที่จะหาที่แพ็คเก็ตที่ถูกบล็อก นี่คือบางสิ่งบางอย่างเช่นการรวมกันของสองเทคนิคก่อนหน้านี้และมักจะทำงานได้ค่อนข้างดี

Nmap เวอร์ชันการพัฒนาที่ไม่ได้เผยแพร่ในปัจจุบันยังรายงาน TTL สำหรับแพ็กเก็ตตอบกลับในเอาต์พุตข้อความปกติพร้อม-v --reasonตัวเลือก อย่างไรก็ตามในตอนนี้คุณต้องใช้เอาต์พุต XML เพื่อรับข้อมูลนี้

แก้ไขเพื่อเพิ่มNmap 6.49BETA1เป็นรุ่นแรกที่แสดง TTL สำหรับแพ็กเก็ตตอบกลับในเอาต์พุตข้อความด้วย-v --reasonหรือ-vvและวางจำหน่ายในเดือนมิถุนายน 2558


1
ตัวเลือกที่มีประโยชน์มาก +1
Eduard Florinescu

ใช่--script=firewalkเป็นสิ่งที่ฉันพยายามหา ขอบคุณ
ulidtko

5

คำตอบสั้น ๆ - ไม่ไม่มีวิธีที่คุณสามารถดูได้

คำตอบอีกต่อไป:

จาก: https://nmap.org/book/man-port-scanning-basics.html

"Nmap ที่กรองแล้วไม่สามารถระบุได้ว่าพอร์ตเปิดอยู่หรือไม่เนื่องจากการกรองแพ็คเก็ตป้องกันไม่ให้โพรบมาถึงพอร์ตการกรองอาจมาจากอุปกรณ์ไฟร์วอลล์เฉพาะกฎเราเตอร์หรือซอฟต์แวร์ไฟร์วอลล์ที่ใช้โฮสต์โฮสต์พอร์ตเหล่านี้ทำให้ผู้โจมตีไม่พอใจ ข้อมูลบางครั้งพวกเขาตอบกลับด้วยข้อความแสดงข้อผิดพลาด ICMP เช่นรหัส 3 ประเภท 13 (ไม่สามารถเข้าถึงปลายทาง: การสื่อสารไม่ได้รับอนุญาต) แต่ตัวกรองที่โพรบแบบธรรมดาโดยไม่ตอบสนองนั้นเป็นเรื่องธรรมดามากกว่านี้ Nmap บังคับให้ลองใหม่หลายครั้ง ลดลงเนื่องจากความคับคั่งของเครือข่ายมากกว่าการกรองสิ่งนี้ทำให้การสแกนช้าลงอย่างมาก "

คุณสามารถลองค้นหาโทโพโลยีเครือข่ายด้วยเครื่องมือเช่น traceroute โดยปกติพอร์ตจะถูกกรองบนโฮสต์ที่เป็นของตนเอง (เช่นตาราง ip), เราเตอร์ขอบเครือข่ายเป้าหมาย, เราเตอร์แกนเครือข่ายเป้าหมายหรือด้านบนของสวิตช์ L3 ชั้นวาง

หากคุณอยู่ในซับเน็ตเดียวกันกับโฮสต์เป้าหมายเกือบแน่ใจว่าไฟร์วอลล์อยู่ในเครื่องเป้าหมาย


2

ลองเปรียบเทียบผลลัพธ์ของ tcptrace กับหนึ่งในพอร์ตที่กรองด้วย tcptrace กับพอร์ตที่เปิด (หรือ traceroute มาตรฐาน) หาก tcptraces เหมือนกันแสดงว่ามีบางสิ่งในเครื่องปลายทางที่กรองพอร์ต

ปรับปรุง: ฉันหมายถึง tcptraceroute ฉันมีนามแฝง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.