Beaucoup de gens semblent poser cette question, car il y a un tas de messages à ce sujet; cependant, je sens que personne ne répond vraiment à la question (que j'ai trouvée).
Je veux comprendre pourquoi NMAP décide de me dire qu'un port spécifique est "FILTRÉ" alors qu'il y a techniquement plus de 60 000 ports "filtrés".
Pour cet exemple ...
Mon pare-feu autorise uniquement TCP 80, 443, 135 et 445 (pas 3389)
192.168.1.100 80 open
192.168.1.100 135 closed
192.168.1.100 443 open
192.168.1.100 445 closed
192.168.1.100 3389 filtered
Puisque mon hôte n'écoute pas sur TCP 135 et 445, il répond avec un TCP RST, et donc il est "fermé")
Cependant, c'est ce que je ne comprends pas. TCP les ports 21, 22, 23, 24, 25, 26, etc. sont TOUS filtrés par le pare-feu (c'est-à-dire non autorisés), mais NMAP me dit seulement que ce port particulier (3389) est en cours filtré.
Pourquoi?! Ne s'agit-il pas d'une liste gigantesque comme:
192.168.1.100 1 filtered
192.168.1.100 2 filtered
192.168.1.100 3 filtered
192.168.1.100 4 filtered
192.168.1.100 5 filtered
... ... ...
192.168.1.100 76 filtered
192.168.1.100 77 filtered
192.168.1.100 78 filtered
192.168.1.100 79 filtered
192.168.1.100 80 open
... ... ...
192.168.1.100 131 filtered
192.168.1.100 132 filtered
192.168.1.100 133 filtered
192.168.1.100 134 filtered
192.168.1.100 135 closed
etc...
Cela dépend en grande partie de l'analyse utilisée et la page des types d'analyse nmap explique l'état du port et les raisons de l'analyse.
Quelques exemples:
Scan TCP SYN (-sS)
- Envoie un TCP avec indicateur SYN défini - Si un SYN/ACK (ou SYN) est reçu -> Le port est Ouvert, TCP initiation acceptée - Si un RST est reçu -> Le port est fermé - Si aucune réponse n'est reçue -> Le port est considéré comme filtré - Si un ICMP inaccessible est reçu -> Le port est considéré comme filtré
Analyses UDP (-sU)
- Nmap envoie un paquet UDP aux ports spécifiés - Si un port ICMP inaccessible revient -> Le port est fermé - Autres erreurs ICMP inaccessibles -> Le port est filtré - Le serveur répond avec un paquet UDP -> Le port est ouvert - Aucune réponse après la retransmission -> Le port est ouvert | Filtré
Et un exemple de "contraste" qui pourrait produire des résultats différents de -sS:
Analyse TCP ACK (-sA)
Cette analyse ne détermine jamais OUVERT ou OUVERT | Filtré: - Un paquet est envoyé avec uniquement l'indicateur ACK - Si un système n'est pas filtré, ouvert et ouvert Les ports fermés renverront tous les deux des paquets marqués RST - Les ports qui ne répondent pas ou qui envoient des erreurs ICMP sont étiquetés filtrés.
Fondamentalement, vos résultats seront influencés par les types de scan et les options supplémentaires que vous ajoutez. Il est important de comprendre comment les différents types d'analyses NMAP fonctionnent à un niveau supérieur afin d'effectuer une analyse correcte et concluante.
Plusieurs options peuvent être nécessaires pour obtenir une vue correcte de vos règles de pare-feu.
Également --reason
flag peut vous donner plus d'informations sur les raisons pour lesquelles un port est affiché différemment que vous ne le pensez.