先ほど、nmap を使用して外部から両親のルーターのポートスキャンを実行しました。(外部とは、自分のサーバーに ssh で接続し、そのサーバーからルーターの外部 IP に nmap で戻したことを意味します)
~ $ sudo nmap -Pn xx.xx.xx.xxx
Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-14 15:11 CEST
Nmap scan report for foo.bar.blabla.xx (xx.xx.xx.xxx)
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
81/tcp open hosts2-ns
113/tcp closed auth
1723/tcp open pptp
pptpとauthは意図された既知のポートですが、hosts2-nsが何なのか全く分かりません。グーグルで検索しましたが、見つかったのはさらに詳しくその名前(ホストからネームサーバー)から、ttがhttp(80)の代替ポートとしても使用されていることが非常に明らかになりました。そして他のサイトポート 81 は一部のマルウェアにとってお気に入りのポートであると言われています。
では、hosts2-ns の実際的な用途は何でしょうか。また、ルータ上のどのアプリケーションに必要なのでしょうか。そのポートではポート転送はアクティブではありません。(編集: 実は間違っています)
ルーターはDraytek Vigor2200E-plusです。LAN-LANやVPNに使用されます。
編集:
ブラウザで接続しようとすると、xx.xx.xx.xxx:81ユーザー名とパスワードの入力を求められます (HTML はなく、ウィンドウが開くだけです)。しかし、ルーターにアクセスするために使用するユーザー名とパスワードは機能しません。サービス スキャンで がnmap -Pn xx.xx.xx.xxx -sV表示されましたDavid WebBox httpd 12.00a.0773。そのプログラムは知っています。父の会社が使用しているメール ソフトウェアです。しかし、どのようにしてポートを開くことができたのか疑問です。UPnP はアクティブではありません。
答え1
nmap はポート 81 が開いていることを伝えており、ポート 81 でどのサービスが実行されているかを伝えているわけではありません。hosts2-ns は単に nmap が参照する名前です (おそらく、nmap を実行しているマシンの /etc/services ファイルから参照されます)。
本当の疑問は、なぜそれがオープンなのか、そしてその背後には何があるかということです。いくつかの選択肢があります。
- これはDraytekで転送ポートとして定義されており、内部ネットワークのどこかにつながります(ポート転送ルールを確認してください)
- Draytek 自体が応答しています (リモート管理構成を確認してください)
- ルーターに代わって応答する何かが間に存在します。これはかなりありそうにありませんが、間に透過的なキャッシュがあり、何か奇妙なことをしている可能性があります。
最初の調査ポイントはルーター自体です。nmap がポートが開いていると言っていることから、何かがプローブに応答したはずです。