web-dev-qa-db-fra.com

NMAP - Fermé vs filtré

Beaucoup de gens semblent poser cette question, car il y a un tas de messages à ce sujet; cependant, je sens que personne ne répond vraiment à la question (que j'ai trouvée).

Je veux comprendre pourquoi NMAP décide de me dire qu'un port spécifique est "FILTRÉ" alors qu'il y a techniquement plus de 60 000 ports "filtrés".

Pour cet exemple ...

  • Mon hôte (192.168.1.100) écoute sur les ports TCP 80, 443 et 3389
  • Mon pare-feu autorise uniquement TCP 80, 443, 135 et 445 (pas 3389)

    192.168.1.100   80      open
    192.168.1.100   135     closed
    192.168.1.100   443     open
    192.168.1.100   445     closed
    192.168.1.100   3389    filtered
    
  • Puisque mon hôte n'écoute pas sur TCP 135 et 445, il répond avec un TCP RST, et donc il est "fermé")

  • Étant donné que mon pare-feu ne permet pas TCP 3389, il est techniquement filtré

Cependant, c'est ce que je ne comprends pas. TCP les ports 21, 22, 23, 24, 25, 26, etc. sont TOUS filtrés par le pare-feu (c'est-à-dire non autorisés), mais NMAP me dit seulement que ce port particulier (3389) est en cours filtré.

Pourquoi?! Ne s'agit-il pas d'une liste gigantesque comme:

192.168.1.100   1       filtered
192.168.1.100   2       filtered
192.168.1.100   3       filtered
192.168.1.100   4       filtered
192.168.1.100   5       filtered
    ...        ...        ...
192.168.1.100   76      filtered
192.168.1.100   77      filtered
192.168.1.100   78      filtered
192.168.1.100   79      filtered
192.168.1.100   80      open
    ...        ...        ...
192.168.1.100   131     filtered
192.168.1.100   132     filtered
192.168.1.100   133     filtered
192.168.1.100   134     filtered
192.168.1.100   135     closed
etc...
8
Ryan B

Cela dépend en grande partie de l'analyse utilisée et la page des types d'analyse nmap explique l'état du port et les raisons de l'analyse.

Quelques exemples:

Scan TCP SYN (-sS)

 
 - Envoie un TCP avec indicateur SYN défini 
 - Si un SYN/ACK (ou SYN) est reçu -> Le port est Ouvert, TCP initiation acceptée 
 - Si un RST est reçu -> Le port est fermé 
 - Si aucune réponse n'est reçue -> Le port est considéré comme filtré 
 - Si un ICMP inaccessible est reçu -> Le port est considéré comme filtré 
 

Analyses UDP (-sU)

 
 - Nmap envoie un paquet UDP aux ports spécifiés 
 - Si un port ICMP inaccessible revient -> Le port est fermé 
 - Autres erreurs ICMP inaccessibles -> Le port est filtré 
 - Le serveur répond avec un paquet UDP -> Le port est ouvert 
 - Aucune réponse après la retransmission -> Le port est ouvert | Filtré 
 

Et un exemple de "contraste" qui pourrait produire des résultats différents de -sS:

Analyse TCP ACK (-sA)

 Cette analyse ne détermine jamais OUVERT ou OUVERT | Filtré: 
 
 - Un paquet est envoyé avec uniquement l'indicateur ACK 
 - Si un système n'est pas filtré, ouvert et ouvert Les ports fermés renverront tous les deux des paquets marqués RST 
 - Les ports qui ne répondent pas ou qui envoient des erreurs ICMP sont étiquetés filtrés. 
 

Fondamentalement, vos résultats seront influencés par les types de scan et les options supplémentaires que vous ajoutez. Il est important de comprendre comment les différents types d'analyses NMAP fonctionnent à un niveau supérieur afin d'effectuer une analyse correcte et concluante.

Plusieurs options peuvent être nécessaires pour obtenir une vue correcte de vos règles de pare-feu.

Également --reason flag peut vous donner plus d'informations sur les raisons pour lesquelles un port est affiché différemment que vous ne le pensez.

11
Nomad