it-swarm-eu.dev

Skenování nmap ukazuje, že porty jsou filtrovány, ale skenování Nessus neukazuje žádné výsledky

Na našem vzdáleném webu provádím skenování portů na různých IP adresách. Zkoušel jsem spustit skenování nmap v tomto rozsahu IP a některé výsledky IP jsou zobrazeny jako filtrované

Když na krabici provádím skenování nessus, u některých IP neexistuje vůbec žádný výsledek.

Je tedy bezpečné předpokládat, že na některých vzdálených serverech nejsou žádné otevřené porty?

17
J. Caballero

Pokud nemáte nmap nakonfigurováno tak, aby neprovádělo zjišťování hostitele (-PN Nebo -PN --send-ip V LAN), pokud to znamená, že všechny porty jsou filtrovány , pak je hostitel nahoru , ale firewall na tomto hostiteli snižuje přenos na všechny naskenované porty.

Všimněte si, že výchozí skenování nmap nezkoumá všechny porty. Prohledává pouze 1000 TCP portů. Pokud chcete zkontrolovat jakékoli služby, budete chtít zkontrolovat všechny 65535 TCP porty a všech 65535 portů UDP).

Přesně tak, ale když kontrola portů říká, že port je filtrován , neznamená to, že na tomto portu není spuštěna žádná služba. Je možné, že firewall hostitele má pravidla, která zakazují přístup k IP, ze které testujete , ale mohou existovat i další IP, které jsou povolen přístup k této službě.

Pokud skenování portu hlásí, že port je uzavřen , je to definitivnější, že na tomto portu není poslouchána žádná služba.

Nemohu komentovat nedostatek výsledků od Nessus, je to už nějakou dobu, co jsem ji použil.

Příklad uzavřeného vs. filtrovaného vs. hostitele

Např. V mé síti je tento hostitel zapnutý, nemá spuštěné žádné služby a nemá firewall, všimněte si, že porty jsou hlášeny jako zavřeno (to znamená, že hostitel reagoval na sondy na tomto portu) :

% Sudo nmap -T4 -n 192.168.1.24

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:20 EST
All 1000 scanned ports on 192.168.1.24 are closed
MAC Address: 00:0E:00:AB:CD:EF (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 7.70 seconds

Tento hostitel je aktivní, nemá spuštěné žádné služby na portech 100-1000 a má bránu firewall. Pamatujte, že porty jsou hlášeny jako filtrováno (to znamená, že hostitel na tyto porty upustil sondy):

% Sudo nmap -T4 -n -p 100-1000 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:24 EST
All 901 scanned ports on 192.168.1.45 are filtered
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 20.03 seconds

Pro ilustraci jsem do posledního hostitele pro port 443 prorazil dočasnou díru v bráně firewall a opakoval kontrolu. (Není tam nic běžícího na 443.) Všimněte si, jak je hlášeno 998 portů filtrováno , ale port 443 je hlášen jako uzavřeno ; firewall umožňuje 443 prostřednictvím a operační systém reaguje pomocí RST.

% Sudo nmap -T4 -n 192.168.1.45

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:43 EST
Interesting ports on 192.168.1.45:
Not shown: 998 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
443/tcp closed https
MAC Address: 00:12:34:AA:BB:CC (Unknown)

Nmap done: 1 IP address (1 Host up) scanned in 5.67 seconds

Na této adrese není žádný hostitel (Host dolů):

% Sudo nmap -T4 -n 192.168.1.199

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:26 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 0.56 seconds

pokud znovu prohledám -PN --send-ip (ten je nutný, protože skenuji LAN a nechci používat sondy ARP), vidím:

% Sudo nmap -T4 -n -PN --send-ip 192.168.1.199 

Starting Nmap 5.00 ( http://nmap.org ) at 2011-11-30 11:29 EST
All 1000 scanned ports on 192.168.1.199 are filtered

Nmap done: 1 IP address (1 Host up) scanned in 101.44 seconds
33
bstpierre

Výsledek nmapu „filtrovaný“ znamená, že (pokud víte, že existuje hostitel s touto adresou IP), byl přístup k portu blokován bránou firewall nebo podobným zařízením, což přerušuje přenos. To je na rozdíl od výsledku „uzavřený“, který naznačuje, že na dané IP je hostitel, ale že neexistuje žádná aktivní služba, která by reagovala na sondy nmaps.

Pokud se všechny porty na hostiteli vrátí jako filtrované, není tam nic, nebo existuje firewall nakonfigurovaný tak, aby upustil veškerý provoz, který je na něj směrován.

10
Rory McCune