nmap -p 7000-7020 10.1.1.1
Generará todos los puertos filtrados.
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET
Nmap scan report for 10.1.1.1
Host is up (0.00091s latency).
PORT STATE SERVICE
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
7002/tcp filtered afs3-prserver
7003/tcp filtered afs3-vlserver
7004/tcp filtered afs3-kaserver
7005/tcp filtered afs3-volser
7006/tcp filtered afs3-errors
7007/tcp filtered afs3-bos
7008/tcp filtered afs3-update
7009/tcp filtered afs3-rmtsys
7010/tcp filtered ups-onlinet
7011/tcp filtered unknown
7012/tcp filtered unknown
7013/tcp filtered unknown
7014/tcp filtered unknown
7015/tcp filtered unknown
7016/tcp filtered unknown
7017/tcp filtered unknown
7018/tcp filtered unknown
7019/tcp filtered unknown
7020/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 2.78 seconds
¿Hay alguna manera de poder ver qué es exactamente lo que filtra esos puertos?
Respuesta1
Esto es lo que dicen los documentos de nmap sobre el filteredestado
filtrado Nmap no puede determinar si el puerto está abierto porque el filtrado de paquetes impide que sus sondas lleguen al puerto. El filtrado podría realizarse desde un dispositivo de firewall dedicado, reglas de enrutador o software de firewall basado en host...
La única manera de saber qué está haciendo el filtrado es saber qué "máquinas" hay entre usted y el objetivo remoto.
Esto se puede lograr utilizando una utilidad de seguimiento de rutas, que intenta determinar los hosts entre usted y el destino mediante paquetes TCP especiales. En su caso, el comando podría verse así:
traceroute 10.1.1.1
Una vez que conoce las máquinas entre usted y el objetivo, investiga la configuración de cada una para saber si está filtrando y, de ser así, cómo.
Respuesta2
Nmap proporciona varias formas de obtener más información sobre la causa del filtrado:
- La
--reasonopción mostrará el tipo de respuesta que provocó el estado del puerto "filtrado". Esto podría ser "sin respuesta" o "prohibido por el administrador" o algo más. - El TTL de los paquetes de respuesta se informa en la salida XML como el
reason_ttlatributo delstateelemento para el puerto. Si el TTL de un puerto filtrado es diferente (normalmente mayor) del TTL de los puertos abiertos, entonces la diferencia entre los TTL es la distancia de la red entre el objetivo y el dispositivo de filtrado. Hay excepciones, como objetivos que utilizan diferentes TTL iniciales para paquetes ICMP y TCP, o un dispositivo de filtrado que falsifica o sobrescribe la información TTL. - La
--traceroutefunción mostrará información sobre los saltos a lo largo de su ruta, cualquiera de los cuales podría estar filtrando su tráfico. En algunos casos, el nombre DNS inverso para uno de los saltos será incluso algo así como "firewall1.example.com". - El
firewalkEl script NSE enviará paquetes con TTL iniciales que expirarán en diferentes saltos a lo largo de la ruta en un intento de encontrar dónde se están bloqueando los paquetes. Esto es algo así como una combinación de las dos técnicas anteriores y normalmente funciona bastante bien.
La versión de desarrollo de Nmap, actualmente inédita, también informa TTL para paquetes de respuesta en la salida de texto normal con las -v --reasonopciones. Por ahora, sin embargo, debe utilizar la salida XML para obtener esta información.
EDITADO PARA AGREGAR:Nmap 6.49BETA1fue el primer lanzamiento que mostró TTL para paquetes de respuesta en salida de texto con -v --reasono -vvy se lanzó en junio de 2015.
Respuesta3
Respuesta corta: No, no hay forma de que puedas verlo.
Respuesta más larga:
De:https://nmap.org/book/man-port-scanning-basics.html
"Nmap filtrado no puede determinar si el puerto está abierto porque el filtrado de paquetes impide que sus sondas lleguen al puerto. El filtrado podría realizarse desde un dispositivo de firewall dedicado, reglas de enrutador o software de firewall basado en host. Estos puertos frustran a los atacantes porque proporcionan muy poco información A veces responden con mensajes de error ICMP como el código tipo 3 13 (destino inalcanzable: comunicación prohibida administrativamente), pero los filtros que simplemente descartan las sondas sin responder son mucho más comunes. Esto obliga a Nmap a reintentar varias veces en caso de que la sonda estuviera fallando. cayó debido a la congestión de la red en lugar de filtrado. Esto ralentiza drásticamente el análisis."
Puede intentar descubrir la topología de la red con herramientas como traceroute.GeneralmenteLos puertos se filtran en el propio host (es decir, tablas de IP), en el enrutador de borde de la red de destino, en el enrutador central de la red de destino o en el conmutador L3 de la parte superior del bastidor.
Si está en la misma subred que el host de destino, es casi seguro que el firewall esté en la máquina de destino.
Respuesta4
Intente comparar un resultado de tcptrace con uno de los puertos filtrados con un tcptrace con un puerto abierto (o una ruta de seguimiento estándar). Si los tcptraces son iguales, significa que hay algo en la máquina de destino filtrando los puertos.
Actualización: quise decir tcptraceroute, lo tengo con un alias.