Ich habe gerade von außen mit Nmap einen Portscan auf dem Router meiner Eltern durchgeführt. (Außen bedeutet, dass ich per SSH eine Verbindung zu meinem Server hergestellt habe und von diesem Server aus per Nmap zurück zur externen IP des Routers gegangen bin.)
~ $ sudo nmap -Pn xx.xx.xx.xxx
Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-14 15:11 CEST
Nmap scan report for foo.bar.blabla.xx (xx.xx.xx.xxx)
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
81/tcp open hosts2-ns
113/tcp closed auth
1723/tcp open pptp
pptp und auth sind beabsichtigte und bekannte Ports, aber ich habe keine Ahnung, was hosts2-ns ist. Ich habe danach gegoogelt, aber alles, was ich gefunden habe, warweitere Detailsauf seinen Namen (Hosts zu Nameserver), was ziemlich offensichtlich war, und dass tt auch als alternativer Port für http (80) verwendet wurde. Undeine andere Sitegesagt, dass Port 81 ein beliebter Port für manche Schadsoftware ist.
Welchen praktischen Nutzen hat hosts2-ns also bzw. für welche Anwendung auf dem Router wird es benötigt?Auf diesem Port ist keine Portweiterleitung aktiv.(Bearbeiten: eigentlich falsch)
Der Router ist ein Draytek Vigor2200E-plus. Er wird für einige LAN-LAN-Sachen und VPN verwendet.
Bearbeiten:
Wenn ich versuche, mich über einen Browser damit zu verbinden, xx.xx.xx.xxx:81werde ich nach einem Benutzernamen und einem Passwort gefragt (kein HTML, nur ein Fenster wird geöffnet), aber der Benutzername und das Passwort, die für den Zugriff auf den Router verwendet werden, funktionieren nicht. Der Service-Scan nmap -Pn xx.xx.xx.xxx -sVhat ergeben David WebBox httpd 12.00a.0773, dass … Ich kenne das Programm, es ist eine Mail-Software, die das Unternehmen meines Vaters verwendet. Aber ich frage mich, wie es den Port öffnen konnte, UPnP ist nicht aktiv.
Antwort1
nmap teilt Ihnen mit, dass Port 81 geöffnet ist, nicht welcher Dienst auf Port 81 läuft. hosts2-ns ist einfach der Name, mit dem nmap darauf verweist (möglicherweise aus der Datei /etc/services auf der Maschine, von der aus Sie nmap ausführen).
Die eigentliche Frage ist, warum es geöffnet ist und was dahinter steckt. Es gibt einige Möglichkeiten:
- Er wurde im Draytek als weitergeleiteter Port definiert und führt irgendwo zu den internen Netzwerken (überprüfen Sie die Portweiterleitungsregeln).
- Es wird vom Draytek selbst beantwortet (überprüfen Sie die Remote-Management-Konfiguration).
- Dazwischen gibt es etwas, das im Namen des Routers antwortet. Das ist ziemlich unwahrscheinlich, aber vielleicht gibt es dazwischen einen transparenten Cache, der etwas Seltsames tut
Ihr erster Untersuchungspunkt ist der Router selbst. Da nmap anzeigt, dass der Port geöffnet ist, muss etwas auf seine Abfrage reagiert haben.