NMAP-クローズvsフィルタリング
たくさんの投稿があるので、多くの人がこの質問をするようです。しかし、私は(私が見つけた)質問に真に答える人はいないように感じます。
技術的に60,000を超える「フィルターされた」ポートがある場合に、NMAPが特定のポートが「FILTERED」であると通知することにした理由を理解したいと思います。
この例のために...
- 私のホスト(192.168.1.100)はポートTCP 80、443、3389でリッスンしています。
私のファイアウォールはTCP 80、443、135および445(3389ではない)のみを許可します)
192.168.1.100 80 open 192.168.1.100 135 closed 192.168.1.100 443 open 192.168.1.100 445 closed 192.168.1.100 3389 filtered私のホストはTCP 135および445でリッスンしていないため、TCP RSTで応答し、「クローズ」されます
- ファイアウォールがTCP 3389を許可していないため、技術的にはフィルタリングされています
しかし、これは私が得ないものです。 TCPポート21、22、23、24、25、26などはすべてファイアウォールによってフィルタリングされます(つまり、許可されません)が、NMAPはこの特定のポート(3389)がろ過された。
なぜ?!次のような巨大なリストではないはずです。
192.168.1.100 1 filtered
192.168.1.100 2 filtered
192.168.1.100 3 filtered
192.168.1.100 4 filtered
192.168.1.100 5 filtered
... ... ...
192.168.1.100 76 filtered
192.168.1.100 77 filtered
192.168.1.100 78 filtered
192.168.1.100 79 filtered
192.168.1.100 80 open
... ... ...
192.168.1.100 131 filtered
192.168.1.100 132 filtered
192.168.1.100 133 filtered
192.168.1.100 134 filtered
192.168.1.100 135 closed
etc...
これは使用するスキャンに大きく依存し、 nmapスキャンタイプページ はポートのステータスとスキャンごとの理由を説明します。
いくつかの例:
TCP SYNスキャン(-sS)
-SYNフラグが設定されたTCPパケットを送信します -SYN/ACK(またはSYN)が受信された場合->ポートはオープン、TCP開始が受け入れられました -RSTが受信された場合->ポートがクローズされました -応答が受信されなかった場合->ポートはフィルタリングされたと見なされます -ICMP Unreachableが受信された場合->ポートはフィルタリングされていると見なされます
UDPスキャン(-sU)
-Nmapは、指定したポートにUDPパケットを送信します -ICMPポート到達不能が戻ってきた場合->ポートが閉じています -その他のICMP到達不能エラー->ポートがフィルタリングされます -サーバーがUDPパケットで応答します->ポートが開かれます -再送信後に応答がありません->ポートが開かれています|フィルター済み
また、-sSとは異なる結果を生成する可能性がある「コントラスト」の例:
TCP ACKスキャン(-sA)
このスキャンでは、OPENまたはOPEN | Filtered: -パケットはACKフラグのみで送信されます。 -システムがフィルタリングされていない場合、OpenとOpen閉じたポートはどちらもRSTフラグの付いたパケットを返します -応答しないポート、またはICMPエラーを送信するポートにはFiltered。 というラベルが付けられます
基本的に、結果はスキャンの種類と追加するオプションの影響を受けます。適切で確実なスキャンを実行するには、さまざまなNMAPスキャンタイプがより高いレベルでどのように機能するかを理解することが重要です。
ファイアウォールルールを適切に表示するには、複数のオプションが必要になる場合があります。
また、--reasonフラグを使用すると、ポートが予想とは異なる方法で表示されている理由を詳しく知ることができます。