TCP bağlantı noktası iletişimini gerçekten filtreleyen şeyi görmenin bir yolu var mı?

10

nmap -p 7000-7020 10.1.1.1

Filtrelenen tüm bağlantı noktalarını çıkarır

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT     STATE    SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds

Bu bağlantı noktalarını tam olarak neyin filtrelediğini görebilmemin bir yolu var mı?

— Eduard Florinescu
kaynak

11

Nmap dokümanlarının filtereddevlet hakkında söylediği şey bu

filtrelenmiş Nmap, bağlantı noktasının açık olup olmadığını belirleyemez çünkü paket filtreleme, probların bağlantı noktasına ulaşmasını önler. Filtreleme, özel bir güvenlik duvarı cihazından, yönlendirici kurallarından veya ana bilgisayar tabanlı güvenlik duvarı yazılımından olabilir ...

Filtrelemenin ne yaptığını bulmanın tek yolu, uzak hedef ile aranızda hangi makinelerin olduğunu bilmektir.

Bu, özel TCP paketleri kullanarak hedef ile aranızdaki ana bilgisayarları belirlemeye çalışan bir yol izleme yardımcı programı kullanılarak gerçekleştirilebilir. Sizin durumunuzda komut aşağıdaki gibi görünebilir:

traceroute 10.1.1.1

Hedef ile aranızdaki makineleri öğrendikten sonra, filtrelenip filtrelenmediğini ve nasıl yapılacağını öğrenmek için her birinin yapılandırmasını araştırırsınız.

— user9517
kaynak

Bu iki makinede etkin yazılım güvenlik duvarı yoktur nmap -p 7000-7020 localhost, bağlantı noktalarının açıldığını gösterir ve özel güvenlik duvarının açıldığı bildirilir.

— Eduard Florinescu

4

Sahip olduğunuz kanıt, bir şeyin filtrelendiğini gösteriyor, yapılandırmanızı bilmediğimiz için bunun ne olduğunu bilemeyiz. Ana bilgisayar tabanlı güvenlik duvarları genellikle geri döngü (localhost) arabirimindeki tüm trafiğe izin verir, bu da muhtemelen yanıltıcı bir testtir.

— user9517

Linux'u iptables "-j DROP" ile kullanma şansınız var mı? Nmap belgelerinin filtrelenmiş olarak ifade ettiği şey aslında herhangi bir protokolde bırakılan bir pakettir.

— risyasin

Bu yazılım aslında harici bir IP'ye bağlı mı? Bunun yerine 127.0.0.1'e bağlıysa, buna neden olabilir.

— Netstat'ı

12

Nmap, filtrelemeye neyin neden olduğu hakkında daha fazla bilgi edinmek için çeşitli yollar sağlar:

Bu --reasonseçenek, "filtrelenmiş" bağlantı noktası durumuna neden olan yanıt türünü gösterir. Bu, "yanıt yok" veya "yönetici tarafından yasaklanmış" veya başka bir şey olabilir.
Yanıt paketlerinin TTL'si, XML çıktısında bağlantı noktası öğesinin reason_ttlözniteliği olarak bildirilir state. Filtrelenmiş bir bağlantı noktasının TTL'si, açık bağlantı noktalarının TTL'sinden farklıysa (genellikle daha büyükse), TTL'ler arasındaki fark, hedef ile filtreleme aygıtı arasındaki ağ mesafesidir. TCP paketlerine karşı ICMP için farklı başlangıç TTL'leri kullanan hedefler veya TTL bilgilerini tahrif eden veya üzerine yazan bir filtreleme cihazı gibi istisnalar vardır.
--tracerouteİşlevi trafiği filtreleme olabilir herhangi biri rotanız üzerindeki atlama hakkında bilgi gösterecektir. Bazı durumlarda, atlamalardan birinin ters DNS adı "firewall1.example.com" gibi bir şey olabilir.
firewalkNSE komut paketleri engellenen nerede bulacağını bir girişim güzergah boyunca farklı atlama en zaman aşımına uğrayacaktır ilk TTL içeren paketleri gönderir. Bu, önceki iki tekniğin bir kombinasyonu gibi bir şeydir ve genellikle oldukça iyi çalışır.

Nmap'ın şu anda yayınlanmamış geliştirme sürümü, -v --reasonseçeneklerle birlikte normal metin çıktısındaki yanıt paketleri için TTL'yi de rapor eder . Şimdilik, bu bilgiyi almak için XML çıktısını kullanmanız gerekiyor.

EKLE EDİTİLDİ : Nmap 6.49BETA1 , -v --reasonveya ile metin çıktısında yanıt paketleri için TTL'yi gösteren ilk sürümdü-vv ve Haziran 2015'te piyasaya sürüldü.

— bonsaiviking
kaynak

1

Çok kullanışlı seçenekler +1

— Eduard Florinescu

Evet, --script=firewalkbulmaya çalıştığım şey bu. Teşekkürler.

— ulidtko

5

Kısa cevap - Hayır, onu görebilmenin bir yolu yok.

Daha uzun cevap:

Gönderen: https://nmap.org/book/man-port-scanning-basics.html

"filtrelenmiş Nmap bağlantı noktasının açık olup olmadığını belirleyemiyor çünkü paket filtreleme problarının bağlantı noktasına ulaşmasını engelliyor. Filtreleme özel bir güvenlik duvarı cihazından, yönlendirici kurallarından veya ana bilgisayar tabanlı güvenlik duvarı yazılımından olabilir. Bu bağlantı noktaları çok az sağladıkları için saldırganları hayal kırıklığına uğratır Bazen tip 3 kod 13 (hedefe ulaşılamaz: iletişim idari olarak yasaklanmıştır) gibi ICMP hata mesajlarıyla yanıt verirler, ancak yanıt vermeden sondaları düşüren filtreler çok daha yaygındır.Bu, Nmap'ı yalnızca sonda olması durumunda birkaç kez yeniden denemeye zorlar filtreleme yerine ağ tıkanıklığı nedeniyle düştü. Bu, taramayı önemli ölçüde yavaşlatır. "

Traceroute gibi araçlarla ağ topolojisini keşfetmeyi deneyebilirsiniz. Genellikle portlar kendi kendine (yani ip tabloları), hedef ağ kenarı yönlendiricisine, hedef ağ çekirdek yönlendiricisine veya raf L3 anahtarının üstüne filtrelenir.

Güvenlik duvarının hedef makinede olduğundan emin olmak için hedef ana bilgisayarla aynı alt ağdaysanız.

— Maciek Sawicki
kaynak

2

Bir tcptrace sonucunu bir tcptrace ile filtrelenmiş portlardan biriyle açık bir porta (veya standart bir traceroute) karşılaştırmayı deneyin. Tcptraces aynı ise, hedef makinede bağlantı noktalarını filtreleyen bir şey olduğu anlamına gelir.

Güncelleme: Ben tcptraceroute demek istedim, takma adı var.

— Makdaam
kaynak