nmap -p 7000-7020 10.1.1.1
Gibt alle gefilterten Ports aus
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT STATE SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds
Gibt es eine Möglichkeit, zu sehen, was genau diese Ports filtert?
Antwort1
filteredDies ist, was die nmap-Dokumente über den Status sagen
gefiltert Nmap kann nicht feststellen, ob der Port offen ist, da die Paketfilterung verhindert, dass seine Sonden den Port erreichen. Die Filterung kann von einem dedizierten Firewall-Gerät, Router-Regeln oder hostbasierter Firewall-Software stammen …
Die einzige Möglichkeit herauszufinden, was die Filterung durchführt, besteht darin, zu wissen, welche „Maschinen“ sich zwischen Ihnen und dem Remote-Ziel befinden.
Dies lässt sich mithilfe eines Route-Trace-Dienstprogramms erreichen, das mithilfe spezieller TCP-Pakete versucht, Hosts zwischen Ihnen und dem Ziel zu ermitteln. In Ihrem Fall könnte der Befehl etwa so aussehen:
traceroute 10.1.1.1
Sobald Sie die Maschinen zwischen Ihnen und dem Ziel kennen, untersuchen Sie die Konfiguration jeder einzelnen, um herauszufinden, ob und wenn ja, wie eine Filterung erfolgt.
Antwort2
Nmap bietet mehrere Möglichkeiten, um weitere Informationen über die Ursache der Filterung zu erhalten:
- Die
--reasonOption zeigt den Typ der Antwort an, die den „gefilterten“ Portstatus verursacht hat. Dies könnte „keine Antwort“ oder „vom Administrator verboten“ oder etwas anderes sein. - Die TTL von Antwortpaketen wird in der XML-Ausgabe als
reason_ttlAttribut desstateElements für den Port gemeldet. Wenn die TTL für einen gefilterten Port von der TTL für offene Ports abweicht (normalerweise größer ist), dann ist der Unterschied zwischen den TTLs die Netzwerkdistanz zwischen dem Ziel und dem Filtergerät. Es gibt Ausnahmen, wie z. B. Ziele, die unterschiedliche anfängliche TTLs für ICMP- und TCP-Pakete verwenden, oder ein Filtergerät, das TTL-Informationen verfälscht oder überschreibt. - Die
--tracerouteFunktion zeigt Informationen zu Hops entlang Ihrer Route an, von denen jeder Ihren Datenverkehr filtern könnte. In einigen Fällen lautet der Reverse-DNS-Name für einen der Hops sogar so etwas wie „firewall1.example.com“. - Der
firewalkDas NSE-Skript sendet Pakete mit anfänglichen TTLs, die an verschiedenen Hops entlang der Route ablaufen, um herauszufinden, wo die Pakete blockiert werden. Dies ist so etwas wie eine Kombination der beiden vorherigen Techniken und funktioniert normalerweise recht gut.
Die derzeit unveröffentlichte Entwicklungsversion von Nmap meldet TTL für Antwortpakete auch in der normalen Textausgabe mit den -v --reasonOptionen. Derzeit müssen Sie jedoch die XML-Ausgabe verwenden, um diese Informationen zu erhalten.
BEARBEITET, UM HINZUZUFÜGEN:Nmap 6.49BETA1war die erste Version, die TTL für Antwortpakete in der Textausgabe mit -v --reasonoder anzeigte -vv, und wurde im Juni 2015 veröffentlicht.
Antwort3
Kurze Antwort: Nein, Sie können es auf keinen Fall sehen.
Längere Antwort:
Aus:https://nmap.org/book/man-port-scanning-basics.html
"Gefiltert: Nmap kann nicht feststellen, ob der Port offen ist, da Paketfilter verhindern, dass seine Sonden den Port erreichen. Die Filterung kann von einem dedizierten Firewall-Gerät, Router-Regeln oder hostbasierter Firewall-Software stammen. Diese Ports frustrieren Angreifer, weil sie so wenig Informationen liefern. Manchmal reagieren sie mit ICMP-Fehlermeldungen wie Typ 3 Code 13 (Ziel nicht erreichbar: Kommunikation administrativ verboten), aber Filter, die Sonden einfach verwerfen, ohne zu antworten, sind weitaus häufiger. Dies zwingt Nmap, mehrere Versuche zu unternehmen, nur für den Fall, dass die Sonde aufgrund einer Netzwerküberlastung und nicht aufgrund einer Filterung verworfen wurde. Dies verlangsamt den Scan erheblich."
Sie können versuchen, die Netzwerktopologie mit Tools wie Traceroute zu ermitteln.NormalerweisePorts werden auf dem Host selbst (d. h. IP-Tabellen), dem Edge-Router des Zielnetzwerks, dem Core-Router des Zielnetzwerks oder dem L3-Switch oben im Rack gefiltert.
Wenn Sie sich im selben Subnetz wie der Zielhost befinden, ist auf dem Zielcomputer fast sicher eine Firewall vorhanden.
Antwort4
Vergleichen Sie das Ergebnis von tcptrace zu einem der gefilterten Ports mit einem tcptrace zu einem offenen Port (oder einem Standard-Traceroute). Wenn die tcptraces gleich sind, bedeutet dies, dass auf dem Zielcomputer etwas die Ports filtert.
Update: Ich meinte tcptraceroute, ich habe es als Alias verwendet.