Wie unterscheidet nmap geschlossene Ports von gefilterten Ports?

Nehmen wir an, wir führen einen TCP-Verbindungsscan durch.

Ein nmap-Scan bei Google gibt die folgende Ausgabe zurück:

PORT STATE SERVICE

80 / tcp öffnen http

443 / tcp öffnen https

Wenn ich jedoch versuche, einen Socket mit Netcat oder Telnet auf google.com an Port 12 zu öffnen, bleibt Netcat oder Telnet auf unbestimmte Zeit hängen.

Nmap erkennt den Port 12 (und andere Ports als 80 oder 443) als geschlossen, aber das Initiieren einer TCP-Verbindung zu ihnen wird nicht sofort geschlossen.

Wie kann nmap wissen, dass diese Ports nicht gefiltert, sondern geschlossen sind?

Beim nmap-Scan erhalten Sie normalerweise drei Zustände:

• Open - Remote-Computer hat mit einem SYN / ACK auf Ihr SYN geantwortet
• Geschlossen - Der Remotecomputer hat Ihren Verbindungsversuch mit einem RST-Paket abgelehnt
• Gefiltert - nichts kam zurück, es trat eine Zeitüberschreitung auf

Das Öffnen eines Netcat für Port 80 und das Warten führt zu nichts. Port 80 bedeutet (normalerweise), dass ein http-Server auf der anderen Seite lauscht und auf einen HTTP-Befehl wartet (bis zu seinem eigenen Timeout). Versuchen Sie nach dem Netcatting auf Port 80 sedinng a, um festzustellen GET /, ob Sie eine Antwort erhalten (wahrscheinlich ein http-Fehler).

Ein geschlossener Port ist ein Port, auf dem keine Software empfangsbereit ist. Wenn Sie also versuchen, eine Verbindung zu diesem Port auf diesem System herzustellen, sendet das System ein TCP-RST-Paket zurück.

Ein gefilterter Port hingegen ist normalerweise ein Port, der von einer Firewall im Netzwerkpfad blockiert wird. Wenn Sie also versuchen, eine Verbindung zu diesem Port auf diesem System herzustellen, wird überhaupt nichts zurückgegeben ... nicht einmal ein TCP RST ... also wird dort ein Verbindungsversuch stattfinden, bis TCP den Verbindungsversuch beendet.