LISTENING、ESTABLISHED、またはUnrecognized状態のポートをnmapで開いているポートとしてマークする必要がありますか?
Googleで検索してみるとこんな内容がありました。
「ESTABLISHED」ソケットは、接続が現在確立されていることを意味します。 「LISTEN」は、ソケットが接続を待っていることを意味します。両方のポートが開いていますが、一方は接続が確立されるのを待っており、もう一方はすでに接続を確立しています。
netstatWindows Powershellでプロセスのステータスを表示するために使用します。
netstat -nboa
Proto Local Address Foreign Address State PID
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[svchost.exe]
TCP 0.0.0.0:7680 0.0.0.0:0 LISTENING 21240
[svchost.exe]
TCP 192.168.0.106:60478 155.133.255.100:27035 ESTABLISHED 21016
[msedge.exe]
UDP 0.0.0.0:60288 104.71.216.88:443 10736
[steam.exe]
TCP 192.168.0.106:64644 52.2.219.0:443 ESTABLISHED 4456
次に、vmbox guest Kali Linuxを使用してnmap -v -p 445 192.168.0.106これらのローカルアドレスポートをテストします。また-f、-T0とを使用してみましたが、-T1両方ともオフまたはフィルタリングされた状態を返します。
ゲストOSのIPアドレスもテストしました。
ss -tnp
tcp ESTAB 0 0 192.168.0.111:47658 34.117.65.55:443 users:(("firefox-esr",pid=1648,fd=106))
その後、を使用するとnmap -v -p 47658 192.168.0.111STATEが閉じます。
私は何が間違っていましたか?このポートは開いていると見なすべきですか?
答え1
LISTENING、ESTABLISHED、またはUnrecognized状態のポートをnmapで開いているポートとしてマークする必要がありますか?
聞いて、はい。設立、いいえ。 「設定された」ソケットは、すでに存在する接続を意味し、いかなる方法でも「開いたポート」ではありません。
出力では実際には教えてくれません。どちら接続が確立されると、最初はリスニング中です。実際にコンピュータに入ってくる接続ではないかもしれません。実際、出力の3つの接続はすべて出て行くようです。離れてこのような接続が行われると、システムはポート 443 または 27035 でリッスンします。これらのソケットのローカルポートにはリスニングソケットがまったくありません。
リストの「認識できない」ソケットはTCPでもなくUDPでもあります。 (UDPには接続がありません。)NmapはUDPポートをスキャンできますが、そうするように明示的に指示する必要があります。ただし、ポート番号で判断すると、これはアウトバウンドストリームです。リモートシステムはUDPポート443でリッスンしており、ローカルポートはその単一ストリームにのみ一時的に割り当てられます。