방금 nmap을 사용하여 외부에서 부모님 라우터의 포트스캔을 수행했습니다. (외부란 내 서버에 ssh로 연결하고 해당 서버의 라우터 외부 IP로 다시 nmap으로 연결했음을 의미합니다)
~ $ sudo nmap -Pn xx.xx.xx.xxx
Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-14 15:11 CEST
Nmap scan report for foo.bar.blabla.xx (xx.xx.xx.xxx)
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
81/tcp open hosts2-ns
113/tcp closed auth
1723/tcp open pptp
pptp와 auth는 의도되고 알려진 포트이지만,host2-ns가 무엇인지 전혀 모릅니다. 구글링해서 찾아봤는데 다 나온거임더 자세한 내용그 이름(호스트에서 네임서버로)은 꽤 분명했고 tt는 http(80)의 대체 포트로도 사용되었습니다. 그리고다른 사이트포트 81은 일부 악성 코드가 선호하는 포트라고 들었습니다.
그렇다면 Host2-ns의 실제 용도는 무엇이며 라우터의 어떤 애플리케이션에 필요한가요?해당 포트에는 활성화된 포트 전달이 없습니다.(편집 : 실제로는 잘못되었습니다)
라우터는 Draytek Vigor2200E-plus입니다. 일부 LAN-LAN 항목 및 VPN에 사용됩니다.
편집하다:
브라우저를 사용하여 연결하려고 하면 xx.xx.xx.xxx:81
사용자 이름과 비밀번호를 묻는 메시지가 표시되지만(html은 없고 창만 열림) 라우터에 액세스하는 데 사용되는 사용자 이름과 비밀번호가 작동하지 않습니다. 서비스 스캔이 nmap -Pn xx.xx.xx.xxx -sV
표시되었습니다 David WebBox httpd 12.00a.0773
. 나는 그 프로그램을 알고 있습니다. 그것은 아버지가 사업에 사용하는 메일 소프트웨어입니다. 그런데 어떻게 포트를 열 수 있었는지 궁금합니다. UPnP가 활성화되어 있지 않습니다.
답변1
nmap은 포트 81에서 실행 중인 서비스가 아니라 포트 81이 열려 있음을 알려줍니다. 호스트2-ns는 단순히 nmap이 참조하는 이름입니다(아마도 nmap을 실행 중인 시스템의 /etc/services 파일에서 가져온 것일 수 있음).
진짜 질문은 그것이 왜 열려 있고 그 뒤에 무엇이 있는지입니다. 몇 가지 옵션이 있습니다:
- 이는 Draytek에서 전달된 포트로 정의되었으며 내부 네트워크로 연결됩니다(포트 전달 규칙 확인).
- Draytek 자체에서 응답 중입니다(원격 관리 구성 확인).
- 그 사이에 라우터를 대신하여 응답하는 것이 있습니다. 그럴 가능성은 거의 없지만 이상한 일을 하는 사이에 투명한 캐시가 있을 수 있습니다.
첫 번째 조사 지점은 라우터 자체입니다. nmap이 포트가 열려 있다고 말하고 있는 경우 무언가가 프로브에 응답했음이 분명합니다.