web-dev-qa-db-ja.com

Nmapスキャンでクローズ/フィルター済みを示すポート

うまくいけば、これは愚かな質問ではありません。私はいくつかのnmapスキャンを実行しており、閉じていることを示すポートのリストを取得しています。スキャンレポートに表示されるのはなぜですか?これらは、ゾンビスキャンなどの他のnmapスイッチでさらに利用できますか? -p-を使用してスキャンですべてのポートを指定しました。私の考えでは、システム上で閉じられているすべてのポートのリストだけでなく、それらのポートの大きなリストが表示されると思いますか?

これが私が実行したコマンドです:_nmap -iL axisips.txt -A -sV -p- > axisnmapresults2.txt_

Host is up (0.062s latency). Not shown: 65525 filtered ports PORT STATE SERVICE VERSION 17/tcp closed qotd 19/tcp closed chargen 25/tcp closed smtp 111/tcp closed rpcbind 136/tcp closed profile 137/tcp closed netbios-ns 138/tcp closed netbios-dgm 139/tcp closed netbios-ssn 443/tcp open ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-server-header: Microsoft-HTTPAPI/2.0

3
john_zombie

ほとんど役に立たない出力の65K以上の行を回避するために、Nmapは、ほとんどの「興味のない」結果を「表示されない:65530フィルター済みポート」のような行に折りたたみます。開いたポートはこのように折りたたまれることはありません。ただし、閉じた(TCP RST)ポートとフィルター処理された(応答またはICMP管理禁止)ポートは、特定の数より少ない場合にのみ表示されます。

あなたのケースでは、ほとんどのポートが「フィルター」されているが、いくつかは代わりに「クローズ」されていると思います。これには多くの理由がありますが、最も可能性の高い理由は次のとおりです。

  1. あなたとターゲットの間の何かが、RST応答をスプーフィングすることによってそれらのポートへのアクセスをブロックしています。これは、特にポート137、139、および445をブロックする住宅用ISPで一般的です。
  2. ターゲットのファイアウォールはこれらのポートを許可していますが、それらで実行されているサービスはありません。

追加用に編集:実際のポート出力に基づいて、これはISPフィルタリング(クローズドポート応答のスプーフィング)であると確信しています。ポート17と19は、DDoS増幅器として一般的に使用されます(ただし、TCPではなくUDP)。ポート137-139および445は、ネットワークワームによってWindowsで悪用されています。ポート25は電子メールサーバー用であるため、ビジネスクラスの接続を購入しない限り、ISPはこれをブロックします。 111と136についてはよくわかりません。それらは合法的に閉鎖されているか、他の何らかの理由でブロックされている可能性があります。 --reason応答のIP存続可能時間(TTL)に関する詳細を表示するスキャンのオプション。異常に高いTTL値は、特にTTL値が数ホップ低い(通常、5から15ホップ程度異なる)場合)、ISPブロッキングを示す可能性があります。 。

8
bonsaiviking