閉じたポートで実行されているサービス?
ホストのスキャンを終了したところ、異常なことが見つかりました。私の質問は、ポート50000と50002に関するものです。Nmapは、これらのポートが閉じていることを示し、それらで実行されているサービスも識別します!どのようにして可能ですか?ポートが閉じているということは、何か動いているの?
papagolf@Sierra:~$ nmap -v www.****.com
Host is up (0.28s latency).
rDNS record for 50.***.***.***: -----
Not shown: 987 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
50000/tcp closed ibm-db2
50001/tcp closed unknown
50002/tcp closed iiimsf
50003/tcp closed unknown
50300/tcp closed unknown
50389/tcp closed unknown
50500/tcp closed unknown
50636/tcp closed unknown
50800/tcp closed unknown
Nmapのドキュメントから: https://nmap.org/book/man-port-scanning-basics.html
閉じたポートにアクセスできます(Nmapプローブパケットを受信して応答します)が、それをリッスンするアプリケーションはありません。
これは、Nmapから送信されたSYNパケットに対してホストが(ほとんどの場合RSTで)応答したことを意味します。私は標準( RFC 79 )でこれに対する明示的な参照は見ませんでしたが、これは私の頭に浮かぶ最も合理的な説明です。 Nmapは、これを閉じたポートとして解釈するのが普通ですが、このIPアドレスにホストが存在することを「メモ」するために使用します。さらに、 OSのフィンガープリントを作成するために、可能なバリエーションを使用します。
はい、すでに@schroederで言及されているように、ポートへのラベルは、実際のフィンガープリントではなく、単に内部参照テーブルからのものです。
閉じたポートは、nmapがRST(tcpの場合)またはicmpタイプ3コード3(udpの場合)のいずれかを受信したことを意味します。各ポートにはよく知られたサービスが割り当てられており、そのほとんどがianaに基づいています。 https://nmap.org/book/nmap-services.html を参照してください。