非常に単純なファイアウォールが必要なサーバーを検索しています。iptables:デフォルトでは、パケットを除くすべてのエントリはRELATED破棄されますESTABLISHED。許可される唯一のNEWパケットタイプはポート22と80のTCPパケットであり、これはすべてです(このサーバーにはHTTPSがありません)。
結果地図予想通り、最初の2048ポートの22と80はオープンポートです。ただし、一部のポートは「フィルタリング済み」として表示されます。
私の質問は:ポート21、25、1863は「フィルタリング済み」とマークされていますが、他のポート2043はフィルタリングされていると表示されないのはなぜですか?
私は22と80万の「公開」とマークされると予想しました。
21、25、1863が「フィルタリング済み」と表示されているのが正常である場合、他のすべてのポートも「フィルタリング済み」と表示されないのはなぜですか? ?
これは地図出力:
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
なぜ2043個の閉じたポートがあるのかわかりません。
Not shown: 2043 closed ports
2046の閉鎖ポートの代わりに。
これはラソフサーバーから起動します。
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(Java / Tomcatはポート8009でリッスンしますが、そのポートはファイアウォールによって削除されました。)
答え1
nmapの「フィルタポート」ステートメントは検索方法によって異なります。
標準スキャン(権限のないユーザーの場合はTCPスキャン、スーパーユーザーの場合は半開スキャン -sS)はTCPプロトコルを使用します。 (3方向ハンシェイクと呼ばれる)
クライアント(あなた)がSYNを発行し、サーバーがSYN / ACKで応答する場合:これはポートです開いている!
SYNを発行し、サーバーがRSTで応答すると、ポートは閉鎖!
- SYNを発行してもサーバーが応答しない場合、またはICMPエラーで応答した場合、これはポートですろ過。 IDS/状態保存ファイアウォールが要求をブロックしている可能性があります)
ポートの実際の状態を確認するには、次のようにします。
- 使用-sVまたは-ㅏオプション(ポートの状態を確認するのに役立つバージョンを検出します。
- 使用--tcp-フラグSYN、FINファームウェアをバイパスしてみてください。
- 他のスキャンタイプを使用する(http://nmap.org/book/man-port-scanning-techniques.html)
優秀」Nmapネットワーク検索「創設者、Fyodorが書いた本はこれについて非常によく説明しています。私が引用したところは次のとおりです。
フィルタリング済み:パケットフィルタリングがプローブがポートに到達しないため、Nmapはポートが開いているかどうかを判断できません。フィルタリングは、専用ファイアウォールデバイス、ルータルール、またはホストベースのファイアウォールソフトウェアで行うことができます。これらのポートは情報をほとんど提供しないため、攻撃者に失望感を与えます。場合によっては、タイプ3コード13(宛先到達不可:通信管理拒否)などのICMPエラーメッセージで応答しますが、フィルタが応答せずに単にプローブを削除する方が一般的です。これにより、フィルタリングではなくネットワーク輻輳によってプローブが削除された場合、Nmapは何度も再試行します。このフィルタリングにより、検索速度が大幅に遅くなることがあります。
open | filtered:Nmapは、ポートが開いているかフィルタリングされているかを確認できない場合、ポートをこの状態に設定します。これは、オープンポートが応答しないスキャンタイプで発生します。応答が不十分であることは、パケットフィルタがプローブまたはプローブからの応答を破棄したことを意味する可能性があります。したがって、Nmapはポートが開いているかフィルタリングされているかを確認できません。 UDP、IPプロトコル、FIN、NULL、およびXmasスキャンは、このようにポートを分類します。
close | filtered:このステータスは、Nmapがポートが閉じられているかフィルタリングされているかを確認できない場合に使用されます。 5.10項「TCP Idle Scan(-sl)」で説明されているIP IDアイドル検索にのみ使用されます。
答え2
ポート21、25、1863は「フィルタリング済み」とマークされていますが、2043などのポートは表示されないのはなぜですか?
これは、ISP、ルーター、ネットワーク管理者、それらの間のすべての項目、またはユーザー自身がフィルタリングしているためです。このポートはかなり悪い記録を持っています。 1863は、Microsoftインスタントメッセージングプロトコル(MSNおよび友達とも呼ばれる)で使用されるポートであり、特定のルールが設定されている場合もそうでない場合もあると確信しています。 SMTPがISPの原因のようです。そして、FTPは彼らに何が起こっているのか分からないので、完全に驚きました。
答え3
デフォルトでは、Nmapは各プロトコル(tcp、udp)に対して最も一般的な1,000個のポートのみをスキャンします。ポートがその外部にある場合はスキャンしないため、レポートしません。ただし、-pオプションを使用してスキャンするポートを指定できます。