Ich scanne einen Server, der eine ziemlich einfache Firewall haben sollte, mit iptables : Standardmäßig ist alles außer DROPped RELATED
und ESTABLISHED
Paketen. Die einzigen NEW
zulässigen Pakettypen sind TCP-Pakete an Port 22 und 80 und das wars (kein HTTPS auf diesem Server).
Das Ergebnis von nmap auf den ersten 2048 Ports ergibt 22 und 80 so offen, wie ich es erwarte. Einige Ports werden jedoch als "gefiltert" angezeigt.
Meine Frage ist: warum erscheinen Port 21, 25 und 1863 als "gefiltert" und die 2043 anderen Ports nicht als gefiltert?
Ich habe erwartet, nur 22 und 80 als "offen" zu sehen.
Wenn es normal ist, 21,25 und 1863 als "gefiltert" anzuzeigen, warum werden dann nicht auch alle anderen Ports als "gefiltert" angezeigt?
Hier ist die Ausgabe von nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Ich verstehe wirklich nicht, warum ich 2043 geschlossene Ports habe:
Not shown: 2043 closed ports
und nicht 2046 geschlossene Häfen.
Hier ist ein lsof auf dem Server gestartet:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(Beachten Sie, dass Java / Tomcat auf Port 8009 lauscht, dieser Port jedoch von der Firewall DROPpt wird.)
nmap
passiert, sollten Sie mit root-Rechten scannen, indem Sie SYN scan (-sS
) und verwenden--packet-trace
. Nehmen Sie sich auch ein paar Minuten Zeit und lesen Sie die Manpage. Sie werden überrascht sein, welche Edelsteine sich dort befindenAntworten:
Die Anweisung 'Gefilterter Port' von nmap unterscheidet sich je nach Scanmethode.
Der Standard-Scan (TCP-Scan bei nichtprivilegierten Benutzern oder Half-Open-Scan -sS bei Superuser) basiert auf dem TCP-Protokoll. (benannter 3-Wege-Hanshake)
Ein Client (Sie) gibt eine SYN aus, wenn der Server SYN / ACK antwortet: Dies bedeutet, dass der Port offen ist !
Sie geben ein SYN, wenn der Server RST antwortet: Es bedeutet , dass der Port schließen !
Um den tatsächlichen Status des Ports zu ermitteln, haben Sie folgende Möglichkeiten:
Das ausgezeichnete Buch " Nmap Network Discovery ", geschrieben von seinem Schöpfer Fyodor, erklärt dies sehr gut. Ich zitiere
quelle
Denn in Ihrem Internetdienstanbieter, Router, Ihrem Netzwerkadministrator, irgendetwas dazwischen oder Sie selbst filtern sie. Diese Ports haben einen ziemlich schlechten Verlauf. 1863 ist der Port, der vom Microsoft-Instant-Messaging-Protokoll (auch bekannt als MSN und Freunde) verwendet wird. Ich glaube, Sie haben möglicherweise eine bestimmte Regel festgelegt (oder auch nicht). Das SMTP scheint Ihr ISP der Schuldige zu sein und FTP hat mich total verblüfft, da ich keine Ahnung habe, was mit ihnen passieren könnte.
quelle
Standardmäßig durchsucht Nmap nur die am häufigsten verwendeten 1.000 Ports für jedes Protokoll (TCP, UDP). Wenn sich Ihr Port außerhalb dieses Bereichs befindet, wird er nicht gescannt und daher nicht gemeldet. Sie können jedoch mit der Option -p die Ports angeben, die gescannt werden sollen.
quelle