nmapフィルタリングで一部のポートは報告されますが、他のポートは報告されないのはなぜですか?

tag-icon tag-icon iptables nmap
nmapフィルタリングで一部のポートは報告されますが、他のポートは報告されないのはなぜですか?

非常に単純なファイアウォールが必要なサーバーを検索しています。iptables:デフォルトでは、パケットを除くすべてのエントリはRELATED破棄されますESTABLISHED。許可される唯一のNEWパケットタイプはポート22と80のTCPパケットであり、これはすべてです(このサーバーにはHTTPSがありません)。

結果地図予想通り、最初の2048ポートの22と80はオープ​​ンポートです。ただし、一部のポートは「フィルタリング済み」として表示されます。

私の質問は:ポート21、25、1863は「フィルタリング済み」とマークされていますが、他のポート2043はフィルタリングされていると表示されないのはなぜですか?

私は22と80万の「公開」とマークされると予想しました。

21、25、1863が「フィルタリング済み」と表示されているのが正常である場合、他のすべてのポートも「フィルタリング済み」と表示されないのはなぜですか? ?

これは地図出力:

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

なぜ2043個の閉じたポートがあるのか​​わかりません。

Not shown: 2043 closed ports

2046の閉鎖ポートの代わりに。

これはラソフサーバーから起動します。

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(Java / Tomcatはポート8009でリッスンしますが、そのポートはファイアウォールによって削除されました。)

ベストアンサー1

nmapの「フィルタポート」ステートメントは検索方法によって異なります。

標準スキャン(権限のないユーザーの場合はTCPスキャン、スーパーユーザーの場合は半開スキャン -sS)はTCPプロトコルを使用します。 (3方向ハンシェイクと呼ばれる)

  • クライアント(あなた)がSYNを発行し、サーバーがSYN / ACKで応答する場合:これはポートです開いている

  • SYNを発行し、サーバーがRSTで応答すると、ポートは閉鎖

  • SYNを発行してもサーバーが応答しない場合、またはICMPエラーで応答した場合、これはポートですろ過。 IDS/状態保存ファイアウォールが要求をブロックしている可能性があります)

ポートの実際の状態を確認するには、次のようにします。

  • 使用-sVまたは-ㅏオプション(ポートの状態を確認するのに役立つバージョンを検出します。
  • 使用--tcp-フラグSYN、FINファームウェアをバイパスしてみてください。
  • 他のスキャンタイプを使用する(http://nmap.org/book/man-port-scanning-techniques.html)

優秀」Nmapネットワーク検索「創設者、Fyodorが書いた本はこれについて非常によく説明しています。私が引用したところは次のとおりです。

フィルタリング済み:パケットフィルタリングがプローブがポートに到達しないため、Nmapはポートが開いているかどうかを判断できません。フィルタリングは、専用ファイアウォールデバイス、ルータルール、またはホストベースのファイアウォールソフトウェアで行うことができます。これらのポートは情報をほとんど提供しないため、攻撃者に失望感を与えます。場合によっては、タイプ3コード13(宛先到達不可:通信管理拒否)などのICMPエラーメッセージで応答しますが、フィルタが応答せずに単にプローブを削除する方が一般的です。これにより、フィルタリングではなくネットワーク輻輳によってプローブが削除された場合、Nmapは何度も再試行します。このフィルタリングにより、検索速度が大幅に遅くなることがあります。

open | filtered:Nmapは、ポートが開いているかフィルタリングされているかを確認できない場合、ポートをこの状態に設定します。これは、オープンポートが応答しないスキャンタイプで発生します。応答が不十分であることは、パケットフィルタがプローブまたはプローブからの応答を破棄したことを意味する可能性があります。したがって、Nmapはポートが開いているかフィルタリングされているかを確認できません。 UDP、IPプロトコル、FIN、NULL、およびXmasスキャンは、このようにポートを分類します。

close | filtered:このステータスは、Nmapがポートが閉じられているかフィルタリングされているかを確認できない場合に使用されます。 5.10項「TCP Idle Scan(-sl)」で説明されているIP IDアイドル検索にのみ使用されます。

おすすめ記事