Saya memindai server yang harus memiliki sederhana cukup firewall menggunakan iptables : secara default segala dijatuhkan selain RELATED
dan ESTABLISHED
paket. Satu-satunya jenis NEW
paket yang diperbolehkan adalah paket TCP pada port 22 dan 80 dan hanya itu (tidak ada HTTPS di server itu).
Hasil nmap pada 2048 port pertama memberi 22 dan 80 sebagai terbuka, seperti yang saya harapkan. Namun beberapa port muncul sebagai "difilter".
Pertanyaan saya adalah: mengapa port 21, 25 dan 1863 muncul sebagai "difilter" dan 2043 port lainnya tidak muncul sebagai yang difilter?
Saya berharap melihat hanya 22 dan 80 sebagai "terbuka".
Jika normal untuk melihat 21,25 dan 1863 sebagai "difilter", maka mengapa tidak semua port lain muncul sebagai "difilter" juga !?
Inilah output nmap :
# nmap -PN 94.xx.yy.zz -p1-2048
Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ...
Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz)
Host is up (0.0023s latency).
Not shown: 2043 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
1863/tcp filtered msnp
Saya benar-benar tidak mengerti mengapa saya memiliki 2043 port yang ditutup:
Not shown: 2043 closed ports
dan bukan 2046 port yang ditutup.
Ini adalah lsof yang diluncurkan di server:
# lsof -i -n
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
named 3789 bind 20u IPv4 7802 TCP 127.0.0.1:domain (LISTEN)
named 3789 bind 21u IPv4 7803 TCP 127.0.0.1:953 (LISTEN)
named 3789 bind 512u IPv4 7801 UDP 127.0.0.1:domain
sshd 3804 root 3u IPv4 7830 TCP *:ssh (LISTEN)
sshd 5408 root 3r IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
sshd 5411 b 3u IPv4 96926113 TCP 94.xx.yy.zz:ssh->aa.bb.cc.dd:37516 (ESTABLISHED)
java 16589 t 42u IPv4 88842753 TCP *:http-alt (LISTEN)
java 16589 t 50u IPv4 88842759 TCP *:8009 (LISTEN)
java 16589 t 51u IPv4 88842762 TCP 127.0.0.1:8005 (LISTEN)
(perhatikan bahwa Java / Tomcat mendengarkan pada port 8009 tetapi port tersebut DIHENTIKAN oleh firewall)
nmap
yang dilakukan, Anda harus memindai menggunakan privs root, menggunakan pemindaian SYN (-sS
) dan--packet-trace
. Juga luangkan waktu beberapa menit dan baca halaman manual, Anda akan terkejut permata apa yang ada di sanaJawaban:
Pernyataan 'port yang difilter' dari nmap berbeda menurut metode pemindaian Anda.
Pemindaian standar (Pemindaian TCP jika pengguna tidak berkepentingan, atau Pemindaian Setengah Terbuka -sS jika superuser) mengandalkan protokol TCP. (bernama hanshake 3 arah)
Klien (Anda) mengeluarkan SYN, jika server membalas SYN / ACK: itu berarti port terbuka !
Anda mengeluarkan SYN, jika server membalas RST: itu berarti portnya dekat !
Untuk mengetahui status port sebenarnya, Anda dapat:
Buku " Nmap Network Discovery " yang sangat bagus, yang ditulis oleh penciptanya Fyodor menjelaskan hal ini dengan sangat baik. Saya mengutip
sumber
Karena di ISP, router, administrator jaringan Anda, apa pun di antara mereka, atau diri Anda memfilternya. Port-port ini memiliki sejarah yang sangat buruk, tahun 1863 adalah port yang digunakan oleh protokol pesan instan Microsoft (alias MSN dan teman-teman) yang saya yakin Anda mungkin (atau mungkin tidak) telah menetapkan aturan tertentu. Yang SMTP sepertinya ISP Anda adalah pelakunya dan FTP membuat saya benar-benar terperangah, karena saya tidak tahu apa yang bisa terjadi pada mereka.
sumber
Secara default, Nmap hanya memindai 1.000 port yang paling umum untuk setiap protokol (tcp, udp). Jika port Anda di luar itu maka tidak akan memindai dan karenanya tidak akan melaporkannya. Namun, Anda dapat menentukan port yang ingin Anda pindai dengan opsi -p.
sumber