NMAP – Închis vs filtrat (Securitatea informațiilor, Rețea, Firewall-Uri, Nmap, Scanere De Rețea, Tcp)

Ryan B a intrebat.

O mulțime de oameni par să pună această întrebare, deoarece există o grămadă de posturi despre asta; totuși, simt că nici unul nu răspunde cu adevărat la întrebare (pe care l-am găsit).

Vreau să înțeleg de ce NMAP decide să-mi spună că un anumit port este „FILTRAT”, când, din punct de vedere tehnic, există peste 60.000 de porturi „filtrate”.

De dragul acestui exemplu…

  • Gazda mea (192.168.1.100) ascultă pe porturile TCP 80, 443 și 3389
  • Firewall-ul meu permite doar TCP 80, 443, 135 și 445 (nu și 3389)

    192.168.1.100   80      open
    192.168.1.100   135     closed
    192.168.1.100   443     open
    192.168.1.100   445     closed
    192.168.1.100   3389    filtered
    
  • Deoarece gazda mea nu ascultă pe TCP 135 și 445, răspunde cu un TCP RST și, prin urmare, este „închisă”.

  • Deoarece firewall-ul meu nu permite TCP 3389, acesta este filtrat din punct de vedere tehnic.

Cu toate acestea, iată ce nu înțeleg. Porturile TCP 21, 22, 23, 24, 25, 26, etc. sunt TOATE filtrate de firewall (adică nu sunt permise), dar NMAP îmi spune doar că acest port anume (3389) este filtrat.

De ce?! Nu ar trebui să fie o listă gigantică de genul:

192.168.1.100   1       filtered
192.168.1.100   2       filtered
192.168.1.100   3       filtered
192.168.1.100   4       filtered
192.168.1.100   5       filtered
    ...        ...        ...
192.168.1.100   76      filtered
192.168.1.100   77      filtered
192.168.1.100   78      filtered
192.168.1.100   79      filtered
192.168.1.100   80      open
    ...        ...        ...
192.168.1.100   131     filtered
192.168.1.100   132     filtered
192.168.1.100   133     filtered
192.168.1.100   134     filtered
192.168.1.100   135     closed
etc...

Comentarii

  • Ați citit această soluție de pe portalul Unix & Linux? – utilizator171922
  • De fapt, am dat peste această postare, dar nu am găsit-o valoroasă. Deși întrebarea este în esență identică cu a mea, răspunsurile nu răspund la întrebare. El întreabă: If it's normal to see 21,25 and 1863 as "filtered", then why aren't all the other ports appearing as "filtered" too!? Aceasta este întrebarea mea. –  > Por Ryan B.
  • Nici măcar explicația oficială de pe site-ul NMAPs nu răspunde la această întrebare: filtered : Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. În scenariul meu, NMAP nu poate determina dacă porturile 1, 2, 3, 4, 5 ,6 etc. etc. sunt deschise, deoarece un dispozitiv de filtrare a pachetelor blochează sondele, dar… nu vedem toate aceste porturi listate în ieșire ca fiind filtrate. –  > Por Ryan B.
  • Adăugați --reason -v la scanare pentru a vedea de ce Nmap a ales fiecare stare de port. filtered poate însemna „niciun răspuns”, dar poate însemna și „ICMP Admin Prohibited” și alte câteva coduri ICMP. Ce se află pe linia care începe cu „Not shown:” ? –  > Por bonsaiviking.
1 răspunsuri
Nomad

Acest lucru depinde în mare măsură de scanarea utilizată și de pagina cu tipurile de scanare nmap explică starea portului și motivele pentru fiecare scanare.

Câteva exemple:

Scanare TCP SYN (-sS)

 - Sends a TCP packet with SYN flag set
 - If a SYN/ACK (or SYN) is received --> Port is Open, TCP initiation accepted
 - If a RST is received --> Port is closed
 - If no response is received --> Port is considered filtered
 - If a ICMP Unreachable is received --> Port is considered filtered

Scanări UDP (-sU)

 - Nmap sends a UDP Packet to the specified ports
 - If an ICMP Port Unreachable comes back --> Port is closed
 - Other ICMP Unreachable errors --> Port is filtered
 - Server responds with UDP packet --> Port is opened
 - No response after retransmission --> Port is Open|Filtered

Și un exemplu de „contrast” care ar putea produce rezultate diferite față de -sS:

TCP ACK Scan (-sA)

This scan nevers determines OPEN or OPEN|Filtered:

 - A packet is sent with only the ACK flag
 - If a System is unfiltered, both Open and Closed ports will both return RST flagged packets
 - Ports that don't respond, or send ICMP Errors are labeled Filtered.

Practic, rezultatele vor fi influențate de tipurile de scanare și de opțiunile suplimentare pe care le adăugați. Este important să înțelegeți cum funcționează diferitele tipuri de scanare NMAP la un nivel superior pentru a efectua o scanare bună și concludentă.

Este posibil să fie necesare mai multe opțiuni pentru a obține o vizualizare corectă a regulilor firewall-ului dumneavoastră.

De asemenea, se poate ca --reason flag ar putea să vă ofere mai multe informații cu privire la motivul pentru care un port este afișat în mod diferit față de ceea ce vă așteptați.