Auf einem Linux-PC ist ein aktiver Server installiert ufw. Die Ausgabe nmap -sT -O localhostlautet:`
Starting Nmap 6.40 ( http://nmap.org ) at 2019-05-27 22:59 EEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00019s latency).
All 1000 scanned ports on localhost (127.0.0.1) are closed
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port` ...
Die Ausgabe von netstat -tuplnist:
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.1.1:xxx 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:8716 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:36678 0.0.0.0:* -
udp 0 0 127.0.1.1:xxx 0.0.0.0:* -
udp 0 0 0.0.0.0:xxx 0.0.0.0:* -
udp6 0 0 :::5353 :::* -
udp6 0 0 :::5635 :::* -
udp6 0 0 :::49355 :::* -
Wenn also alle 1000 Ports geschlossen sind, wie stellt der PC dann eine Verbindung zum Internet her (weil er verbunden ist)? Und wenn Port xxx auf dem lokalen Host lauscht, warum nmapkann er dann nicht erkannt werden?
Was ist der Unterschied zwischen den Ports des lokalen Hosts und den Ports des … eth0?
Gibt es 65535-Ports für den lokalen Host und andere 65535-Ports für die eth0-Netzwerkschnittstelle?
Antwort1
Wenn also alle 1000 Ports geschlossen sind, wie stellt der PC dann eine Verbindung zum Internet her (weil er verbunden ist)? Und wenn Port xxx auf dem lokalen Host lauscht, warum kann nmap ihn dann nicht erkennen?
Wenn Sie eine Verbindung zu einer Remote-Site herstellen, öffnet das lokale Programm einen Socket für den Server, der durch den lokalen Port, den Remote-Port und die Remote-IP identifiziert wird. Es empfängt keine Pakete, die diesem Tupel nicht entsprechen.
Der lokale Port wird normalerweise ausgewählt ausdie flüchtigen Häfen. Diese werden standardmäßig nicht von nmap gescannt und würden auch nicht angezeigt werden, da nmap nicht mit dem Tupel für den Socket übereinstimmt.
Nmap sucht nach offenen Sockets, die Verbindungen akzeptieren. Laut Nmap haben Sie einen, aber Sie haben ihn maskiert, daher wissen wir nicht, ob Nmap diesen Port überprüft. Es gibt 65535 Ports, aber standardmäßig scannt Nmap nur etwa 1000 davon.
Was ist der Unterschied zwischen den Ports des lokalen Hosts und den Ports des … eth0?
Dinge, die auf 127.0.0.1 lauschen, empfangen Pakete nur über die Loopback-Schnittstelle. Dinge, die auf 0.0.0.0 oder einem bestimmten Gerät lauschen, empfangen Pakete entweder von allen (0.0.0.0) oder von diesem bestimmten Gerät.
Gibt es 65535-Ports für den lokalen Host und andere 65535-Ports für die eth0-Netzwerkschnittstelle?
Ja und nein. Eine Verbindung besteht aus dem Tupel lokaler Port, Remote-Port, Remote-IP und ggf. lokale IP. Man kann verschiedene Dienste auf demselben Port auf zwei verschiedenen IPs lauschen lassen.