NMAP - Cerrado vs Filtrado

3

Mucha gente parece hacer esta pregunta, ya que hay un montón de publicaciones al respecto; sin embargo, siento que ninguno responde realmente a la pregunta (que he encontrado).

Quiero entender por qué NMAP decide decirme que un puerto específico está "FILTRADO" cuando técnicamente hay más de 60,000 puertos "filtrados".

Por el bien de este ejemplo ...

  • Mi host (192.168.1.100) está escuchando en los puertos TCP 80, 443 y 3389
  • Mi firewall solo permite TCP 80, 443, 135 y 445 (no 3389)

    192.168.1.100   80      open
    192.168.1.100   135     closed
    192.168.1.100   443     open
    192.168.1.100   445     closed
    192.168.1.100   3389    filtered
    
  • Como mi host no está escuchando en TCP 135 y 445, responde con un TCP RST, y por lo tanto está "cerrado"

  • Como mi firewall no permite TCP 3389, técnicamente está filtrado

Sin embargo, esto es lo que no consigo. Los puertos TCP 21, 22, 23, 24, 25, 26, etc. TODOS son filtrados por el firewall (es decir, no permitido), pero NMAP solo me dice que este puerto en particular (3389) está siendo filtrado.

¡¿Por qué ?! Si no fuera una lista gigantesca como:

192.168.1.100   1       filtered
192.168.1.100   2       filtered
192.168.1.100   3       filtered
192.168.1.100   4       filtered
192.168.1.100   5       filtered
    ...        ...        ...
192.168.1.100   76      filtered
192.168.1.100   77      filtered
192.168.1.100   78      filtered
192.168.1.100   79      filtered
192.168.1.100   80      open
    ...        ...        ...
192.168.1.100   131     filtered
192.168.1.100   132     filtered
192.168.1.100   133     filtered
192.168.1.100   134     filtered
192.168.1.100   135     closed
etc...
    
pregunta Ryan B 28.03.2018 - 22:10
fuente

1 respuesta

5

Esto depende en gran medida del escaneo utilizado, y la página de tipos de escaneo de nmap explica el estado del puerto y las razones por escaneo.

Algunos ejemplos:

TCP SYN Scan (-sS)


 - Sends a TCP packet with SYN flag set
 - If a SYN/ACK (or SYN) is received --> Port is Open, TCP initiation accepted
 - If a RST is received --> Port is closed
 - If no response is received --> Port is considered filtered
 - If a ICMP Unreachable is received --> Port is considered filtered

Análisis de UDP (-sU)


 - Nmap sends a UDP Packet to the specified ports
 - If an ICMP Port Unreachable comes back --> Port is closed
 - Other ICMP Unreachable errors --> Port is filtered
 - Server responds with UDP packet --> Port is opened
 - No response after retransmission --> Port is Open|Filtered

Y un ejemplo de "contraste" que podría producir resultados diferentes a -sS:

TCP ACK Scan (-sA)

This scan nevers determines OPEN or OPEN|Filtered:

 - A packet is sent with only the ACK flag
 - If a System is unfiltered, both Open and Closed ports will both return RST flagged packets
 - Ports that don't respond, or send ICMP Errors are labeled Filtered.

Básicamente, sus resultados se verán influenciados por los tipos de análisis y las opciones adicionales que agregue. Es importante comprender cómo funcionan los diferentes tipos de escaneo NMAP a un nivel superior para realizar un escaneo bueno y concluyente.

Es posible que se requieran varias opciones para obtener una vista adecuada de las reglas de su firewall.

Además, el indicador --reason podría ofrecerle más información sobre por qué un puerto se muestra de forma diferente de lo que espera.

    
respondido por el Nomad 29.03.2018 - 12:11
fuente

Lea otras preguntas en las etiquetas