it-swarm.com.de

NMAP - Geschlossen gegen Gefiltert

Viele Leute scheinen diese Frage zu stellen, da es eine Reihe von Beiträgen darüber gibt. Ich habe jedoch das Gefühl, dass niemand die Frage (die ich gefunden habe) wirklich beantwortet.

Ich möchte verstehen, warum NMAP beschließt, mir mitzuteilen, dass ein bestimmter Port "GEFILTERT" ist, wenn technisch mehr als 60.000 "gefilterte" Ports vorhanden sind.

Für dieses Beispiel ...

  • Mein Host (192.168.1.100) überwacht die Ports TCP 80, 443 und 3389)
  • Meine Firewall erlaubt nur TCP 80, 443, 135 und 445 (nicht 3389))

    192.168.1.100   80      open
    192.168.1.100   135     closed
    192.168.1.100   443     open
    192.168.1.100   445     closed
    192.168.1.100   3389    filtered
    
  • Da mein Host nicht auf TCP 135 und 445) hört, antwortet er mit einem TCP RST) und ist daher "geschlossen".

  • Da meine Firewall TCP 3389) nicht zulässt, wird sie technisch gefiltert

Dies ist jedoch, was ich nicht bekomme. TCP Ports 21, 22, 23, 24, 25, 26 usw. werden ALLE von der Firewall gefiltert (dh nicht zulässig), aber NMAP teilt mir nur mit, dass dieser bestimmte Port (3389) vorhanden ist gefiltert.

Warum?! Sollte es nicht eine gigantische Liste sein wie:

192.168.1.100   1       filtered
192.168.1.100   2       filtered
192.168.1.100   3       filtered
192.168.1.100   4       filtered
192.168.1.100   5       filtered
    ...        ...        ...
192.168.1.100   76      filtered
192.168.1.100   77      filtered
192.168.1.100   78      filtered
192.168.1.100   79      filtered
192.168.1.100   80      open
    ...        ...        ...
192.168.1.100   131     filtered
192.168.1.100   132     filtered
192.168.1.100   133     filtered
192.168.1.100   134     filtered
192.168.1.100   135     closed
etc...
8
Ryan B

Dies hängt weitgehend vom verwendeten Scan ab, und auf der Seite Seite nmap-Scan-Typen werden der Status des Ports und die Gründe für den Scan erläutert.

Einige Beispiele:

TCP SYN Scan (-sS)

 
 - Sendet ein TCP Paket mit gesetztem SYN-Flag 
 - Wenn ein SYN/ACK (oder SYN) empfangen wird -> Port ist Offen, TCP Initiierung akzeptiert 
 - Wenn ein RST empfangen wird -> Port geschlossen ist 
 - Wenn keine Antwort empfangen wird -> Port wird als gefiltert betrachtet 
 - Wenn ein ICMP Unreachable empfangen wird -> Port gilt als gefiltert 
 

UDP-Scans (-sU)

 
 - Nmap sendet ein UDP-Paket an die angegebenen Ports 
 - Wenn ein nicht erreichbarer ICMP-Port zurückkommt -> Port ist geschlossen 
 - Andere nicht erreichbare ICMP-Fehler -> Port wird gefiltert 
 - Server antwortet mit UDP-Paket -> Port wird geöffnet 
 - Keine Antwort nach erneuter Übertragung -> Port ist offen | Gefiltert 
 

Und ein "Kontrast" -Beispiel, das andere Ergebnisse als -sS liefern könnte:

TCP ACK Scan (-sA)

 Dieser Scan bestimmt niemals OPEN oder OPEN | Gefiltert: 
 
 - Ein Paket wird nur mit dem ACK-Flag 
 Gesendet. - Wenn ein System nicht gefiltert ist, öffnen und öffnen Geschlossene Ports geben beide Pakete mit RST-Flag zurück. 
 - Ports, die nicht antworten oder ICMP-Fehler senden, sind als gefiltert gekennzeichnet. 
 

Grundsätzlich werden Ihre Ergebnisse von den Scan-Typen und zusätzlichen Optionen beeinflusst, die Sie hinzufügen. Es ist wichtig zu verstehen, wie die verschiedenen NMAP-Scan-Typen auf einer höheren Ebene funktionieren, um einen guten und schlüssigen Scan durchzuführen.

Möglicherweise sind mehrere Optionen erforderlich, um eine ordnungsgemäße Ansicht Ihrer Firewall-Regeln zu erhalten.

Auch die --reason Flag gibt Ihnen möglicherweise mehr Einblicke, warum ein Port anders angezeigt wird als erwartet.

11
Nomad