Dlaczego niektóre porty są filtrowane przez nmap, a inne nie?

Mam skanowanie do serwera, który powinien mieć dość prosty firewall przy użyciu iptables : domyślnie wszystko jest odrzucany poza RELATEDi ESTABLISHEDpakiety. Jedynym NEWdozwolonym typem pakietów są pakiety TCP na portach 22 i 80 i to wszystko (bez HTTPS na tym serwerze).

Wynik nmap na pierwszych 2048 portach daje 22 i 80 tak otwarte, jak się spodziewam. Jednak niektóre porty są wyświetlane jako „filtrowane”.

Moje pytanie brzmi: dlaczego porty 21, 25 i 1863 są wyświetlane jako „filtrowane”, a pozostałe porty 2043 nie są wyświetlane jako filtrowane?

Spodziewałem się, że widzę tylko 22 i 80 jako „otwarte”.

Jeśli widzimy 21,25 i 1863 jako „filtrowane”, to dlaczego wszystkie inne porty też nie są wyświetlane jako „filtrowane” !?

Oto wyjście nmap :

# nmap -PN 94.xx.yy.zz -p1-2048

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
1863/tcp filtered msnp

Naprawdę nie rozumiem, dlaczego mam 2043 zamkniętych portów:

Not shown: 2043 closed ports

a nie 2046 zamkniętych portów.

Oto lsof uruchomiony na serwerze:

# lsof -i -n
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
named    3789 bind   20u  IPv4     7802       TCP 127.0.0.1:domain (LISTEN)
named    3789 bind   21u  IPv4     7803       TCP 127.0.0.1:953 (LISTEN)
named    3789 bind  512u  IPv4     7801       UDP 127.0.0.1:domain 
sshd     3804 root    3u  IPv4     7830       TCP *:ssh (LISTEN)
sshd     5408 root    3r  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd     5411    b    3u  IPv4 96926113       TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java    16589    t   42u  IPv4 88842753       TCP *:http-alt (LISTEN)
java    16589    t   50u  IPv4 88842759       TCP *:8009 (LISTEN)
java    16589    t   51u  IPv4 88842762       TCP 127.0.0.1:8005 (LISTEN)

(zwróć uwagę, że Java / Tomcat nasłuchuje na porcie 8009, ale ten port jest DROP-owany przez zaporę ogniową)

Instrukcja „Filtrowany port” z nmap różni się w zależności od metody skanowania.

Skanowanie standardowe (skanowanie TCP w przypadku nieuprzywilejowanego użytkownika lub skanowanie w trybie półotwartym -sS w przypadku administratora) opiera się na protokole TCP. (o nazwie 3-drożny hanshake)

• Klient (ty) wydaje SYN, jeśli serwer odpowiada SYN / ACK: oznacza to, że port jest otwarty !

• Wydajesz SYN, jeśli serwer odpowiada RST: oznacza to, że port jest blisko !

• Wydajesz SYN, jeśli serwer nie odpowiada lub odpowiada z błędem ICMP: oznacza to, że port jest filtrowany . Prawdopodobnie twoja prośba blokuje firewall IDS / statefull)

Aby ustalić, jaki jest prawdziwy status portu, możesz:

• użyj opcji -sV lub -A (wykrywanie wersji, pomoże ci ustalić jaki jest status tego portu.
• użyj --tcp-flags SYN, FIN, aby ominąć fw.
• użyj innych typów skanowania ( http://nmap.org/book/man-port-scanning-techniques.html )

Doskonała książka „ Nmap Network Discovery ”, napisana przez jej twórcę Fiodora, bardzo dobrze to wyjaśnia. Cytuję

filtrowane: Nmap nie może ustalić, czy port jest otwarty, ponieważ filtrowanie pakietów uniemożliwia jego próbkom dotarcie do portu. Filtrowanie może pochodzić z dedykowanego urządzenia zapory, reguł routera lub oprogramowania zapory opartego na hoście. Porty te frustrują atakujących, ponieważ dostarczają tak mało informacji. Czasami odpowiadają na komunikaty o błędach ICMP, takie jak kod typu 3 (cel nieosiągalny: komunikacja administracyjnie zabroniona), ale filtry, które po prostu upuszczają sondy bez odpowiedzi, są znacznie częstsze. To zmusza Nmapa do ponownej próby kilka razy na wypadek, gdyby sonda została upuszczona z powodu przeciążenia sieci, a nie filtrowania. Ten rodzaj filtrowania znacznie spowalnia skanowanie.

open | filter: Nmap umieszcza porty w tym stanie, gdy nie jest w stanie ustalić, czy port jest otwarty czy filtrowany. Dzieje się tak w przypadku typów skanowania, w których otwarte porty nie dają odpowiedzi. Brak odpowiedzi może również oznaczać, że filtr pakietów upuścił sondę lub jakąkolwiek wywołaną odpowiedź. Więc Nmap nie wie na pewno, czy port jest otwarty czy filtrowany. Skany UDP, protokołu IP, FIN, NULL i Xmas klasyfikują porty w ten sposób.

zamknięty | filtrowany: Ten stan jest używany, gdy Nmap nie jest w stanie ustalić, czy port jest zamknięty, czy filtrowany. Jest używany tylko do skanowania w trybie bezczynności adresu IP omówionego w rozdziale 5.10, „Skanowanie w trybie bezczynności protokołu TCP (-sl)

dlaczego porty 21, 25 i 1863 są wyświetlane jako „filtrowane”, a pozostałe 2043 inne porty nie są wyświetlane jako filtrowane?

Ponieważ u twojego dostawcy usług internetowych router, administrator sieci, wszystko między nimi lub ty sam je filtrujesz. Porty te mają dość złą historię, 1863 jest portem używanym przez protokół komunikatorów Microsoft (znany również jako MSN i przyjaciele), który, jak sądzę, mógł (lub nie) ustanowić określoną regułę. SMTP wydaje się, że to twój dostawca usług internetowych jest winowajcą, a FTP całkowicie mnie oszołomił, ponieważ nie mam pojęcia, co może się z nimi stać.

Domyślnie Nmap skanuje tylko 1000 najczęściej używanych portów dla każdego protokołu (tcp, udp). Jeśli twój port jest poza tym, to nie skanuje go, a zatem nie zgłosi tego. Możesz jednak określić porty, które chcesz skanować, z opcją -p.