有沒有辦法查看實際過濾 TCP 連接埠通訊的內容？

filtered這是 nmap 文件對狀態的描述

過濾的 Nmap 無法確定連接埠是否打開，因為封包過濾阻止其探測到達該連接埠。過濾可以來自專用防火牆設備、路由器規則或基於主機的防火牆軟體...

找出正在執行過濾的唯一方法是了解您和遠端目標之間有哪些「機器」。

這可以使用路由追蹤實用程式來實現，該實用程式嘗試使用特殊的 TCP 封包確定您和目標之間的主機。在您的情況下，該命令可能類似於：

traceroute 10.1.1.1

一旦您了解了您和目標之間的機器，您就可以調查每台機器的配置，以找出它是否正在過濾，如果是，如何進行過濾。

Nmap 提供了多種方法來獲取有關導致過濾的原因的更多資訊：

• 此--reason選項將顯示導致「已過濾」連接埠狀態的回應類型。這可能是“無回應”或“管理員禁止”或其他原因。
• 回應資料包的 TTL 在 XML 輸出中報告為連接埠元素reason_ttl的屬性。state如果過濾連接埠的 TTL 與開放連接埠的 TTL 不同（通常大於），則 TTL 之間的差異就是目標與過濾設備之間的網路距離。但也有例外，例如目標對 ICMP 與 TCP 封包使用不同的初始 TTL，或偽造或覆蓋 TTL 資訊的過濾設備。
• 該--traceroute功能將顯示有關沿路線的躍點的信息，其中任何躍點都可能會過濾您的流量。在某些情況下，其中一個躍點的反向 DNS 名稱甚至類似於“firewall1.example.com”
• 這firewalkNSE 腳本將發送帶有初始 TTL 的資料包，這些資料包將在沿途的不同躍點逾時，以嘗試找到資料包被阻止的位置。這類似於前兩種技術的組合，通常效果很好。

目前未發布的 Nmap 開發版本還在帶有選項的普通文字輸出中報告回應資料包的 TTL -v --reason。但目前，您必須使用 XML 輸出來取得此資訊。

編輯新增：Nmap 6.49BETA1-v --reason是第一個使用或在文字輸出中顯示回應資料包 TTL 的版本-vv，於 2015 年 6 月發布。

簡短的回答 - 不，你無法看到它。

更長的答案：

從：https://nmap.org/book/man-port-scanning-basics.html

「filtered Nmap 無法確定連接埠是否打開，因為封包過濾會阻止其探測到達該連接埠。過濾可能來自專用防火牆設備、路由器規則或基於主機的防火牆軟體。這些連接埠讓攻擊者感到沮喪，因為它們提供的資訊很少有時，它們會使用ICMP 錯誤訊息進行回應，例如類型3 代碼13（目標無法到達：管理上禁止通訊），但簡單地丟棄探測而不回應的過濾器更為常見，這會迫使Nmap 重試幾次，以防探測失敗。

您可以嘗試使用traceroute等工具發現網路拓撲。通常連接埠在主機本身（即 IP 表）、目標網路邊緣路由器、目標網路核心路由器或機架頂部 L3 交換器上進行過濾。

如果您與目標主機位於同一子網路中，幾乎可以肯定防火牆位於目標電腦上。

嘗試將 tcptrace 的結果與已過濾的連接埠之一與開放連接埠（或標準追蹤路由）的 tcptrace 進行比較。如果 tcptrace 相同，則表示目標電腦上有某些東西過濾了連接埠。

更新：我的意思是 tcptraceroute，我有它的別名。