如何確定防火牆上哪些連接埠開啟/關閉?

如何確定防火牆上哪些連接埠開啟/關閉?

似乎以前沒有人問過這個問題(大多數人都考慮基於主機的防火牆)。

任何熟悉連接埠掃描工具(例如 nmap)的人都知道 SYN 掃描、FIN 掃描等用於確定主機上開放連接埠的工具。但問題是,如何確定防火牆本身的開放連接埠(無論您嘗試連接到防火牆後面的主機是否開啟或關閉了這些特定連接埠)。這是假設防火牆阻止您的 IP 連線。

範例:我們都透過連接埠 80(Web 流量)與 serverfault.com 進行通訊。對主機的掃描將顯示連接埠 80 已開啟。如果 serverfault.com 位於防火牆後面並且仍然允許此流量通過,那麼我們可以假設防火牆也開啟了連接埠 80。現在,我們假設防火牆正在封鎖您(例如,您的 IP 位址位於拒絕清單中或在允許清單中缺少)。您知道連接埠80 必須開啟(它適用於適當的IP 位址),但是當您(不允許的IP)嘗試任何掃描時,防火牆上的所有連接埠掃描嘗試都會丟棄封包(包括連接埠80,我們知道該端口已開啟) )。那麼,我們如何完成直接防火牆掃描以顯示防火牆本身打開/關閉的端口,同時仍然使用不允許的 IP?

答案1

你不知道。從封包過濾的角度來看,主機向您顯示的內容和防火牆向您顯示的內容之間沒有差異。如果您掃描防火牆本身的 IP 位址(假設它有 IP 位址),則它不太可能使用與綁定到其後面的主機的流量相同的規則。

但是,在某些配置中,您可能會意外地看到防火牆允許的內容。

以主機為例,該主機對未偵聽的連接埠上的流量做出拒絕回應(RST封包,這是正常的 TCP 行為),而防火牆則默默地丟棄流量。假設主機只監聽 80,但防火牆允許 80 和 25 進入。防火牆允許主機拒絕的連接埠 25 流量通過主機連接的連接埠 80,並阻止所有其他流量。

nmap 將顯示該主機開啟了連接埠 80,關閉了連接埠 25,並過濾了所有其他連接埠。 nmap 的建置是為了顯示何時存在這種差異,以幫助您確定您正在查看的主機的行為。

答案2

如果您使用 Web 服務執行連接埠掃描,或從外部位置對外部 IP 位址執行連接埠掃描,您將看到防火牆上開啟了哪些連接埠。

這是我透過 Google 搜尋找到的第一個網路服務;可能還有其他人:http://www.hackerwatch.org/probe/

答案3

如果您擁有防火牆並希望對其執行功能測試,則可以在掃描之前在連接到其 DMZ 介面的交換器跨接連接埠上設定嗅探器。這樣,即使目標主機恰好關閉或在特定連接埠上沒有回應,您也可以擷取任何通過的封包。它為您提供比執行掃描的工具更多的可見性。

相關內容