web-dev-qa-db-ja.com

nmapスキャンはポートがフィルタリングされていることを示しますが、nessusスキャンは結果が表示されません

リモートサイトのIPの範囲でポートスキャンを実行しています。そのIP範囲でnmapスキャンを実行してみましたが、一部のIP結果がフィルターされたものとして表示されます

ボックスでnessusスキャンを実行すると、一部のIPでまったく結果が得られません。

そのため、一部のリモートサーバーに開いているポートがないと想定しても安全ですか?

vulnerability-scannersnetwork-scanners
17
J. Caballero

ホスト検出を実行しないようにnmapを構成していない場合(LANで-PNまたは-PN --send-ip)、すべてのポートがフィルターされていることを示している場合の場合、ホストはupですが、そのホストのファイアウォールはスキャンされたすべてのポートへのトラフィックをドロップしています。

デフォルトのnmapスキャンはすべてのポートをプローブするわけではないことに注意してください。スキャンするのは1000 TCPポートのみです。anyサービスを確認する場合は、65535 TCPポートおよびすべての65535 UDPポート。

また、正確には、ポートスキャンでポートがfilteredと表示された場合でも、そのポートでサービスが実行されていないことを意味するわけではありません。ホストのファイアウォールに、スキャンを実行しているIPへのアクセスを拒否するルールがある可能性がありますが、そのサービスへのアクセスが許可されている他のIPが存在する可能性があります。

ポートスキャンでポートがclosedであると報告された場合は、そのポートでリッスンしているサービスがないことがより確実です。

Nessusの結果の欠如についてコメントすることはできません。それを使用してから久しぶりです。

クローズとフィルタリングの比較vsホストダウン

たとえば、私のネットワークでは、このホストは稼働しており、サービスは実行されておらず、ファイアウォールもありません。ポートはclosedとして報告されることに注意してください(これは、ホストがそのポートのプローブに応答したことを意味します) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

このホストは稼働しており、ポート100〜1000で実行されているサービスはなく、ファイアウォールがあります。ポートはfilteredとして報告されることに注意してください(これは、ホストがそれらのポートへのプローブをドロップしたことを意味します)。

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

説明のために、ポート443の最後のホスト用にファイアウォールに一時的な穴を開け、スキャンを再実行しました。 (そこでは443で何も実行されていません。)998個のポートがfilteredと報告されていますが、ポート443はclosed;と報告されています。ファイアウォールは443の通過を許可しており、OSはRSTで応答します。

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

このアドレスにはホストがありません(Host down):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

-PN --send-ipで再スキャンすると(LANをスキャンしているため後者が必要であり、ARPプローブを使用したくない場合)、次のように表示されます。

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

Nmapの結果が「フィルターに掛けられた」とは、(そのIPアドレスを持つホストがあることがわかっている場合)ポートへのアクセスがファイアウォールなどによってブロックされ、トラフィックがドロップされていることを意味します。これは、そのIPにホストはあるがnmapsプローブに応答するアクティブなサービスがないことを示す「クローズ」結果とは対照的です。

ホストのすべてのポートがフィルターされた状態で戻ってきた場合、そこに何もないか、またはそれに向けられたすべてのトラフィックをドロップするように構成されたファイアウォールがあります。

10
Rory McCune