Nmap, kapalı bağlantı noktalarını filtrelenmiş bağlantı noktalarından nasıl ayırır?

Diyelim ki bir TCP bağlantı taraması yapıyoruz.

Google'da bir nmap taraması aşağıdaki çıktıyı döndürür:

LİMAN DEVLET HİZMETİ

80 / tcp açık http

443 / tcp açık https

Ancak, örneğin 12 numaralı bağlantı noktasındaki google.com'da netcat veya telnet ile bir soket açmaya çalışırsam, netcat veya telnet süresiz olarak kilitlenir.

Nmap, 12 numaralı bağlantı noktasını (ve 80 veya 443 dışındaki diğer bağlantı noktalarını) kapalı olarak algılar ancak bunlara TCP bağlantısı başlatmak hemen kapanmaz.

Nmap, bu bağlantı noktalarının filtrelenmediğini, ancak kapatıldığını nasıl bilebilir?

Nmap taraması ile genellikle 3 durum elde edersiniz:

• Açık - uzak bilgisayar SYN'nize bir SYN / ACK ile yanıt verdi
• Kapalı - uzak bilgisayar bir RST paketi ile bağlantı girişiminizi reddetti
• Filtrelendi - hiçbir şey geri gelmedi, zaman aşımı oluştu

80 numaralı bağlantı noktasına bir netcat açmak ve beklemek hiçbir şey yapmaz. Bağlantı noktası 80 (genellikle), bir http sunucusunun diğer tarafta dinlediği ve HTTP komutunun (kendi zaman aşımına kadar) beklediği anlamına gelir. 80 numaralı bağlantı noktasına netcatting yaptıktan sonra, yanıt alıp alamayacağınızı GET /görmek için a ayarını yapmayı deneyin (muhtemelen bir http hatası).

Kapalı bağlantı noktası, üzerinde herhangi bir yazılım dinlemeyen bir bağlantı noktasıdır, bu nedenle bu sistemdeki o bağlantı noktasına bağlantı kurma girişimi, sistemin bir TCP RST paketi geri göndermesine neden olur.

Öte yandan, filtrelenmiş bir bağlantı noktası genellikle ağ yolundaki bir güvenlik duvarı tarafından engellenen bir bağlantı noktasıdır. TCP RST ... bu yüzden TCP bağlantı girişimi zaman aşımına uğrayana kadar bir bağlantı girişimi orada oturur.