hosts2-nsとは
両親のルーターでnmapを使用して外部からポートスキャンを実行しました。 (外部とは、サーバーにSSHで接続し、そのサーバーからルーターの外部IPにnmapで戻すことを意味します)
~ $ Sudo nmap -Pn xx.xx.xx.xxx
Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-14 15:11 CEST
Nmap scan report for foo.bar.blabla.xx (xx.xx.xx.xxx)
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
81/tcp open hosts2-ns
113/tcp closed auth
1723/tcp open pptp
pptpとauthは意図された既知のポートですが、hosts2-nsが何であるかわかりません。私はそれをグーグルで検索しましたが、私が見つけたのは さらに詳細 その名前(ネームサーバーへのホスト)にあり、それはかなり明白であり、ttはhttp(80)の代替ポートとしても使用されていました。そして 他のサイト ポート81はいくつかのマルウェアのお気に入りのポートであると言われました。
では、hosts2-nsの実際の使用法は何ですか、それともルーター上のどのアプリケーションに必要ですか? そのポートでアクティブなポート転送はありません。(編集:実際には間違っています)
ルーターはDraytekVigor2200E-plusです。一部のLAN-LAN関連およびVPNに使用されます。
編集:
ブラウザで接続しようとするとxx.xx.xx.xxx:81ユーザー名とパスワード(HTMLなし、ウィンドウを開くだけ)を求められますが、ルーターへのアクセスに使用されるユーザー名とパスワードが機能しません。サービススキャンnmap -Pn xx.xx.xx.xxx -sV示したDavid WebBox httpd 12.00a.0773。私はそのプログラムを知っています、それは私の父のビジネスが使用するいくつかのメールソフトウェアです。しかし、どうやってポートを開くことができたのだろうか、UPnPはアクティブではありません。
nmapは、ポート81で実行されているサービスではなく、ポート81が開いていることを通知します。hosts2-nsは、単にnmapが参照している名前です(nmapを実行しているマシンの/ etc/servicesファイルから)。
本当の問題は、なぜそれが開いているのか、そしてその背後にあるものは何かということです。いくつかのオプションがあります。
- これは、Draytekで転送されたポートとして定義されており、どこかで内部ネットワークにつながっています(ポート転送ルールを確認してください)。
- Draytek自体によって応答されています(リモート管理構成を確認してください)
- ルーターに代わって応答している何かが間にあります。これはかなりありそうにありませんが、何か奇妙なことをする間に透過的なキャッシュがあるかもしれません
調査の最初のポイントはルーター自体です。nmapがポートが開いていると言っていることを考えると、何かがそのプローブに応答したに違いありません。