Результаты инструмента NMAP

Question

Результаты инструмента NMAP

Сначала я выполнил сканирование nmap через nmap 127.0.0.1(адрес обратной связи). Он вернул 999 портов закрытыми, порт 631 открыт (правильно, так как netstat -tlpn также показывает, что порт 631 прослушивает). Затем я сделал сканирование портов через nmap мой IP-адрес. Затем он вернул результат, что все 1000 портов закрыты. Почему разница между двумя результатами, когда они просто сканируют мой локальный компьютер?

3

firewall nmap

Источник

Mayank Singh 10 авг '15 в 11:06

3 ответа

Другие вопросы по тегам firewall nmap

2707974 10 авг '15 в 11:10 2015-08-10 11:10 · Answer 1 · 2015-08-10 11:10

У вас есть другой ответ, потому что кулак сканирует 127.0.0.1 это не идти через брандмауэр. Второе сканирование также включало правила брандмауэра.

Статус порта

Открытое состояние

Приложение активно принимает TCP-соединения, UDP-дейтаграммы или ассоциации SCTP на этом порту. Их поиск часто является основной целью сканирования портов. Специалисты по безопасности знают, что каждый открытый порт - это путь для атаки. Злоумышленники и тестировщики хотят использовать открытые порты, в то время как администраторы пытаются закрыть или защитить их с помощью брандмауэров, не мешая законным пользователям. Открытые порты также интересны для сканирования, не связанного с безопасностью, поскольку они показывают службы, доступные для использования в сети.

Закрытое состояние

Доступен закрытый порт (он принимает и отвечает на тестовые пакеты Nmap), но приложение не прослушивает его. Они могут помочь показать, что хост подключен к IP-адресу (обнаружение хоста или сканирование ping), а также как часть обнаружения ОС. Поскольку закрытые порты достижимы, может потребоваться сканирование позже, если некоторые из них открываются. Администраторы могут захотеть заблокировать такие порты с помощью брандмауэра. Затем они появятся в отфильтрованном состоянии, обсуждается далее.

Отфильтрованное состояние

Nmap не может определить, открыт ли порт, потому что фильтрация пакетов препятствует тому, чтобы его зонды достигли порта. Фильтрация может осуществляться с выделенного устройства брандмауэра, правил маршрутизатора или программного обеспечения брандмауэра на основе хоста. Эти порты расстраивают злоумышленников, потому что они предоставляют так мало информации. Иногда они отвечают сообщениями об ошибках ICMP, такими как код 13 типа 3 (пункт назначения недоступен: связь административно запрещена), но фильтры, которые просто отбрасывают зонды без ответа, встречаются гораздо чаще. Это заставляет Nmap повторить попытку несколько раз на тот случай, если зонд был сброшен из-за перегрузки сети, а не из-за фильтрации. Это значительно замедляет сканирование.

Нефильтрованное государство

Нефильтрованное состояние означает, что порт доступен, но Nmap не может определить, открыт он или закрыт. Только сканирование ACK, которое используется для сопоставления наборов правил брандмауэра, классифицирует порты в это состояние. Сканирование нефильтрованных портов с другими типами сканирования, такими как сканирование окна, сканирование SYN или сканирование FIN, может помочь определить, открыт ли порт.

Открытое и отфильтрованное состояние

Nmap переводит порты в это состояние, когда он не может определить, открыт ли порт или отфильтрован. Это происходит для типов сканирования, в которых открытые порты не дают ответа. Отсутствие ответа также может означать, что фильтр пакетов отбросил зонд или любой ответ, который он вызвал. Таким образом, Nmap не знает наверняка, открыт ли порт или фильтруется. Сканирования UDP, протокола IP, FIN, NULL и Xmas классифицируют порты таким образом.

Закрытое и отфильтрованное состояние

Это состояние используется, когда Nmap не может определить, закрыт порт или отфильтрован. Он используется только для сканирования бездействия IP-идентификатора.

Таким образом, в вашем случае закрытое состояние порта может быть связано с тем, что приложение не прослушивает его.

bonsaiviking 10 авг '15 в 12:42 2015-08-10 12:42 · Answer 2 · 2015-08-10 12:42

Когда программа открывает прослушивающий сокет TCP, она должна сначала связать этот сокет с адресом и номером порта. Чаще всего адрес будет INADDR_ANY, который в Linux является адресом 0.0.0.0. Это означает, что "любой адрес на любом интерфейсе может подключаться". Другой распространенной альтернативой является привязка к адресу, настроенному на определенном интерфейсе: либо внешний IP-адрес вашего устройства, либо специальный адрес адаптера обратной связи (lo) 127.0.0.1.

В вашем случае CUPS прослушивает порт 631 по шлейфу. Это означает, что с ним нельзя связаться по любому другому адресу, даже Nmap. Это имеет смысл для системы, которая использует CUPS для служб печати, но не настроена в качестве сервера печати для других систем в вашей сети.

muru 10 авг '15 в 12:39 2015-08-10 12:39 · Answer 3 · 2015-08-10 12:39

Поскольку nmap показывает только один открытый порт для локального хоста и ни одного для вашего внешнего IP, один простой вывод заключается в том, что у вас прослушивается только одна служба, и она прослушивает только на локальном хосте. Выход из netstat для этого порта подтверждает это, так как служба прослушивает только 127.0.0.1:631 (IPv4 localhost) и ::1:631 (IPv6 localhost).