Neden nmap tarafından rapor edilen bazı portlar diğerlerine göre filtrelenmiyor?

Kullandığım duvarı oldukça basit olmalıdır bir sunucu tarıyorum iptables : Varsayılan her şey tarafından yanında düşürülür RELATEDve ESTABLISHEDpaketler. İzin verilen tek NEWpaket türü, 22 ve 80 numaralı bağlantı noktalarındaki TCP paketleridir ve hepsi bu (bu sunucuda HTTPS yok).

Nmap'ın ilk 2048 portundaki sonucu beklediğim gibi 22 ve 80'e kadar açık. Ancak, birkaç bağlantı noktası "filtrelenmiş" olarak görünür.

Sorum şu: neden 21, 25 ve 1863 numaralı bağlantı noktaları "filtrelenmiş" olarak görünüyor ve diğer 2043 numaralı bağlantı noktaları da filtrelenmiş olarak görünmüyor?

Sadece 22 ve 80’leri “açık” olarak görmeyi umuyordum.

21,25 ve 1863'ü "filtre uygulanmış" olarak görmek normalse, neden diğer tüm bağlantı noktaları da "filtre uygulanmış" olarak görünmüyor ?!

İşte nmap çıktısı:

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

Neden 2043 kapalı bağlantı noktama sahip olduğumu anlamıyorum:

Not shown: 2043 closed ports

ve 2046 kapalı bağlantı noktaları.

İşte sunucuda başlatılan bir lsof :

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(Java / Tomcat’in 8009 numaralı bağlantı noktasını dinlediğini ancak bu bağlantı noktasının güvenlik duvarı tarafından DROPped olduğunu unutmayın)

Nmap'tan 'Filtered port' ifadesi tarama yönteminize göre farklılık gösterir.

Standart tarama (ayrıcalıklı kullanıcı değilse TCP Taraması veya süper kullanıcı ise Yarı Açık taraması -sS), TCP protokolüne dayanır. (adlı 3 yollu hanshake)

• Bir sunucu (siz) bir SYN yayınlar, eğer sunucu SYN / ACK’ya cevap verirse: bu portun açık olduğu anlamına gelir !

• Eğer sunucu RST'ye cevap verirse, bir SYN yayınlarsınız: portun yakın olduğu anlamına gelir !

• Sunucu yanıt vermiyorsa veya ICMP hatasıyla yanıt veriyorsa, bir SYN yayınlarsınız: bağlantı noktası filtrelenmiş demektir . Muhtemelen bir IDS / durumsal güvenlik duvarı isteğinizi engeller)

Limanın gerçek durumunu görmek için şunları yapabilirsiniz:

• kullanmak -SV veya -A seçeneği (sürüm algılama, size bu portun yerini belirlemek için yardımcı olacaktır.
• fw atlayarak denemek için --tcp-flags SYN, FIN kullanın.
• diğer tarama türlerini kullanın ( http://nmap.org/book/man-port-scanning-techniques.html )

Yaratıcısı Fyodor tarafından yazılmış mükemmel " Nmap Network Discovery " kitabı, bunu çok iyi açıklıyor. Alıntı yaparım

süzüldü: Nmap, bağlantı noktasının açık olup olmadığını belirleyemiyor, çünkü paket filtreleme, probların bağlantı noktasına ulaşmasını engelliyor. Filtreleme özel bir güvenlik duvarı cihazından, yönlendirici kurallarından veya ana bilgisayar tabanlı güvenlik duvarı yazılımından olabilir. Bu limanlar saldırganları rahatsız ediyor, çünkü çok az bilgi sağlıyorlar. Bazen, tip 3 kod 13 (hedef ulaşılamaz: iletişim idari olarak yasaklanmış) gibi ICMP hata mesajlarıyla yanıt verirler, ancak yanıt vermeden probları basitçe düşüren filtreler çok daha yaygındır. Bu, Nmap'ı, filtreleme yerine ağın tıkanması nedeniyle sonda düşmesi durumunda birkaç kez yeniden denemeye zorlar. Bu tür bir filtreleme, taramaları önemli ölçüde yavaşlatır.

open | filter: Nmap bir portun açık veya filtreli olup olmadığını belirleyemediğinde portları bu duruma getirir. Bu, açık portların cevap vermediği tarama tipleri için oluşur. Tepki eksikliği, bir paket filtresinin probu veya ortaya çıkardığı herhangi bir cevabı düşürdüğü anlamına da gelebilir. Nmap, portun açık mı yoksa filtre mi olduğundan emin değil. UDP, IP protokolü, FIN, NULL ve Xmas taramaları portları bu şekilde sınıflandırır.

closed | filter: Bu durum Nmap bir portun kapalı mı yoksa filtreli mi olduğunu belirleyemediğinde kullanılır. Yalnızca Bölüm 5.10, "TCP Boşta Tarama (-sl) bölümünde açıklanan IP ID Boşta taraması için kullanılır.

neden 21, 25 ve 1863 numaralı bağlantı noktaları "filtrelenmiş" olarak görünüyor ve diğer 2043 numaralı bağlantı noktaları filtre uygulanmış olarak görünmüyor?

Çünkü ISS'nizde, yönlendiricinizde, ağ yöneticiniz, aralarındaki herhangi bir şey veya kendiniz filtreliyorsunuz. Bu bağlantı noktalarının çok kötü bir geçmişi var, 1863, Microsoft anlık ileti protokolü (MSN ve arkadaşlar) tarafından kullanılan ve belirli bir kural koyduğuna (veya alamayacağınıza) inandığım bağlantı noktası. SMTP, ISS'nizin sorumlusu gibi görünüyor ve onlara ne olabileceği hakkında hiçbir fikrim olmadığı için FTP beni tamamen şaşırttı.

Varsayılan olarak, Nmap her protokol için yalnızca en yaygın 1.000 bağlantı noktasını tarar (tcp, udp). Eğer portunuz bunun dışında ise, taramayacaktır ve bu yüzden rapor etmeyecektir. Ancak, taramak istediğiniz portları -p seçeneğiyle belirleyebilirsiniz.